Последний выпуск децентрализованной биржи Bancor, похоже, подвержен очень серьезной ошибке, которая может привести к значительной потере средств пользователей.
Согласно сообщению, опубликованному Bancor 18 июня, уязвимость затрагивает последнюю версию смарт-контракта BancorNetwork, которая была запущена 16 июня.
Пользователям, которые торговали на Bancor и дали согласие на отзыв своего умного контракта, настоятельно рекомендуется отозвать его через специализированный веб-сайт Approve.zone.
Команда обнаружила, что, обнаружив уязвимость, они «атаковали контракт как махинацию», чтобы переместить средства, подверженные риску, в безопасное место.Предположительно, для этого команда использовала вышеупомянутую уязвимость, а это означает, что злоумышленник мог истощить значительную часть средств пользователя.
Hex Capital написал в Твиттере, что проблема возникла из-за возможности вызова «safeTransferFrom» без надлежащей авторизации.Эта функция является одним из ключевых элементов контракта ERC-20, поскольку она позволяет смарт-контракту отозвать определенное пособие, не требуя взаимодействия с пользователем.
В Hex Capital предположили, что команда «опоздала во многих случаях», чтобы сэкономить средства.Однако, согласно исследованию команды 1inch.exchange, в этом виноваты лидеры.
Фавориты «крадут» часть денег
Команда 1inch.exchange нашла как минимум двух известных лидеров, которые начали копировать командные транзакции Bancor, как только они начали.Передовые боты были созданы, чтобы использовать возможности арбитража, и «не могли отличить арбитражную возможность от взлома», пишет команда.
Тем не менее, все лидеры, которые присоединились, публично перечислили контактную информацию, которая должна означать, что они будут готовы вернуть деньги.Один из лидеров уже пообещал вернуть деньги.Часть, которая пошла к лидерам, важна, тем не менее, с 1-дюймовой командой, пишущей:
«Команда Bancor спасла в общей сложности 409 656 долларов и потратила 3,94 ETH на газ, а автоматические лидеры взяли 135 229 долларов и потратили 1,92 ETH на газ.Пользователям было предъявлено обвинение в сумме 544 885 долларов США ».
Аудиты не помогли
В ответ на инцидент некоторые члены сообщества начали сомневаться, проводил ли Bancor аудит новых умных контрактов.В анонсе новой версии 0.6 Bancor отметил, что «проводится проверка безопасности».
Хотя больше никакой информации не было, анонимный исследователь Фрэнк Топботтом (Frank Topbottom) сообщил об обнаружении в своем репозитории GitHub, в котором упоминался аудит безопасности Kanso Labs.Похоже, что компания базируется в Тель-Авиве, где также находится большая часть команды Bancor.
Команда Bancor сообщила Cointelegraph, что уязвимость была обнаружена сторонним разработчиком вскоре после запуска, подобно тому, как она будет работать с множеством ошибок.
Как ранее сообщал Коинтелеграф, аудиты достаточно редки для обеспечения безопасности.
