Saugumo analitikas teigė, kad senoje „DxSale“ spintelės sutartyje galėjo būti nepatvirtintas užpakalinių durų pažeidžiamumas.
Daugiau nei 1 400 likvidumo fondų, susietų su senomis BNB grandinės DxSale sutartimis, gegužės 29 d. buvo išnaudoti per 7,3 mln.
Ataka papildo didėjantį DeFi pažeidimų sąrašą šį mėnesį, nes saugumo ekspertai perspėja, kad dėl senstančių išmaniųjų sutarčių ir silpnos prieigos kontrolės protokolai lieka atviri.
Kas atsitiko
Pagal grandinės saugos paskyrą PeckShieldAlert, vartotojas, vardu „Tahax“, pirmiausia nustatė išnaudojimą. Remiantis jų pranešimu, užpuolikai nusitaikė į mažiausiai 1 400 senų „DxSale“ likvidumo fondo sutarčių „BNB Chain“ tinkle ir iš jų išėmė apie 7,3 mln.
„PeckShield“ pridūrė, kad adresas, identifikuotas kaip „0xC457…FA69“, iš įsilaužimo pervedė 2 958 BNB, kurių vertė 1,87 mln. USD, į dvi pagrindines pinigines, kurios vėliau perkėlė lėšas per kelis „Binance“ indėlių adresus.
DxSale yra paleidimo pulto platforma, leidžianti kriptovaliutų projektams kurti žetonus ir likvidumo telkinius nekuriant savo infrastruktūros. Maždaug prieš penkerius metus jis buvo gana didelis, nes daugelis projektų, paleidžiančių žetonus BNB grandinėje, užrakino savo LP protokolu.
Anot Tahax, spintelėje vis dar buvo laikomi projektų LP, kurie nebuvo liesti daugelį metų, o įkūrėjai ir turėtojai tikėjo, kad tai saugu. Tačiau beveik prieš devynis mėnesius „DxSale“ diegėjas perleido spintelės nuosavybės teisę į naują piniginę be viešo pranešimo ar įspėjimo apie perkėlimą. „On-chain degen“ teigia, kad spintelės sutartis buvo nepatvirtinta ir greičiausiai joje buvo užpakalinės durys, kuriomis užpuolikas pasinaudojo.
Pranešama, kad prieš dvi dienas 0xC457…FA69, visiškai nauja piniginė, finansuojama iš Bybit ir galbūt nukreipta per AnySwap, perėmė spintelės nuosavybę ir per kelias valandas pradėjo ištuštinti LP.
Jums taip pat gali patikti:
Pati „DxSale“ dar nepateikė pareiškimo dėl išnaudojimo.
„DeFi“ saugumo susirūpinimas nuolat auga
„DxSale“ įsilaužimas neįvyko atskirai – balandį kriptovaliutų sektorius dėl panašių incidentų prarado mažiausiai 650 mln. May taip pat patyrė nemažą dalį išpuolių, įskaitant vieną praėjusią savaitę, kai asmuo pavogė daugiau nei 11 mln. USD nuo Verus tilto, pasinaudojęs mokėjimo sumų patikrinimo klaida. Saugumo tyrėjų teigimu, užpuolikas pateikė nedidelę operaciją, kuri buvo patikrinta ir vis dar atrakino didelius išėmimus iš tilto rezervų.
Mėnesio pradžioje likvidumo tiekėjas „TrustedVolumes“ taip pat buvo nukentėjęs apie 5,9 mln. USD, kai įsilaužėlis piktnaudžiavo jos pritaikytos atsiskaitymo sistemos trūkumais, o analitikai nurodė, kad išnaudojimas pavyko, nes protokolas patikrino autorizaciją pagal vieną adresą, o lėšas paėmė iš kito.
THORChain taip pat buvo auka, o grandininis žvalgas ZachXBT teigė, kad jis galėjo prarasti daugiau nei 10 mln.
Šis nuolatinis išnaudojimų srautas sukėlė reakciją – vienas OpenZeppelin įkūrėjų Manuelis Aráozas paskelbė, kad „visas DeFi yra nesaugus“, teigdamas, kad dirbtinio intelekto padedami užpuolikai spragų randa greičiau nei saugos komandos gali jas pataisyti.
„Binance Free“ 600 USD (išskirtinai „CryptoPotato“): naudokite šią nuorodą, kad užregistruotumėte naują paskyrą ir gautumėte 600 USD išskirtinį pasveikinimo pasiūlymą „Binance“ (visa informacija).
RIBOTAS PASIŪLYMAS CryptoPotato skaitytojams Bybit: naudokite šią nuorodą, kad užsiregistruotumėte ir atidarytumėte 500 USD NEMOKAMĄ poziciją bet kurioje monetoje!
