Согласно отчету платформы безопасности блокчейна CertiK от 20 марта, опубликованному Cointelegraph, старый контракт, ранее использовавшийся криптовалютной биржей Dolomite, был использован примерно на 1,8 миллиона долларов. Эксплойт затронул пользователей, которые ранее разрешали одобрение контракта, и команда разработчиков рекомендовала отозвать одобрение для адреса Ethereum Dolomite, который начинается с 0xe2466.
Команда разработчиков заявила, что это не должно затронуть пользователей, которые взаимодействовали только с текущей версией на Arbitrum. Они также отключили неисправный контракт, который должен защитить пользователей, еще не ставших жертвами атаки. Несмотря на это, команда утверждала, что пользователи должны отозвать одобрение этого контракта.
Согласно отчету CertiK, злоумышленник воспользовался функцией callFunction, которая позволяет пользователю совершать любые произвольные вызовы. Эта функция защищена модификатором noEntry, который при нормальных обстоятельствах должен предотвращать любые повторные атаки. Однако эту защиту можно обойти с помощью контракта TradeManager, расположенного по адресу 0xe2466, который содержит функцию «вызова», не имеющую защиты повторного входа. Таким образом, злоумышленник смог использовать этот контракт для вывода средств пользователей, утверждают в CertiK.
По словам Сертика, злоумышленник перевел все украденные средства на адрес 0x5eAA7DadA44d59549A6c58008b2bd3C7F81d2502, а затем положил их на счет Tornado Cash.
Связанный: ParaSwap уклоняется от взлома, нацеленного на уязвимость контракта Augustus v6
Этот эксплойт — один из нескольких, произошедших в марте.11 марта протокол Unizen на Ethereum потерял более 2,1 миллиона долларов из-за эксплойта одобрения. В этом случае команда разработчиков пообещала возместить расходы пользователям как можно скорее.15 марта Mozaic Finance потеряла более 2,4 миллиона долларов из-за компрометации закрытого ключа.
