Експлойт із застосуванням неперевірених кредитних контрактів на блокчейні Base призвів до крадіжки приблизно 1 мільйона доларів.
Про інцидент, який тривав кілька годин, повідомила компанія безпеки блокчейну Cyvers Alerts у дописі X 25 жовтня.
Зловмисник скористався вразливістю в смарт-контрактах, пов’язаних з Wrapped Ether (WETH), успішно маніпулював ціною, а потім перевів кошти.
За темою: BingX запускає брандмауер гаманця «ShieldX» через кілька місяців після зламу 52 мільйонів доларів
Початкова підозріла транзакція зловмисника вилучила 993 534 доларів США з неперевірених кредитних контрактів блокчейну Base.
Вони перемістили більшу частину вкрадених коштів у мережу Ethereum, а потім внесли приблизно 202 549 доларів США в орієнтований на конфіденційність сервіс Tornado Cash. Додаткові кошти на загальну суму $455 127 були отримані за допомогою того самого експлойту.
У письмовому запитанні та відповіді на Cointelegraph Хакан Унал, старший керівник SOC Cyvers Alerts, пояснив уразливість, використану в атаці:
«Оракул, який використовувався в цих контрактах, не був надійним, покладаючись лише на одну пару з обмеженою ліквідністю ~400 тисяч доларів, що робило його сприйнятливим до коливань цін, якими можна було маніпулювати».
За темою: державні криптовалютні гаманці США зламано на 20 мільйонів доларів — Arkham Intelligence
Експлуатація неперевірених кредитних контрактів у цій події розкриває ширші ризики, пов’язані з платформами децентралізованого фінансування (DeFi), які не впроваджують жорстких заходів безпеки.
Унал пояснив, що «більш надійний, диверсифікований оракул з вищою ліквідністю, щоб уникнути маніпулювання цінами», можна використовувати для запобігання подібним атакам у майбутньому, особливо «для таких активів, як WETH».
«Посилена належна обачність для перевірки кредитного договору, зокрема щодо використовуваних оракулів, може зменшити ці ризики».
За темою: хакер Radiant Capital переміщує 52 мільйони доларів у вигляді викрадених коштів
Unal повідомив Cointelegraph, що «зловмиснику вдалося втекти» з коштами, вкраденими шляхом використання «вразливості маніпулювання цінами».
«Відповідальність, ймовірно, лягає на організацію, яка керує неперевіреними кредитними контрактами, а також на тих, хто відповідає за вибір недостатньо безпечного оракула для перевірки ціни».
Особу зловмисника поки що не встановлено, йому вдалося втекти з викраденими коштами.
Цей інцидент підкреслює потребу платформ DeFi у вдосконаленні протоколів безпеки для захисту коштів користувачів і забезпечення перевірки контрактів у майбутньому, щоб запобігти виникненню подібних подій.
Після ведмежого початку жовтня біткойн змінив імпульс, піднявшись до 69 000 доларів за останні два…
Нещодавня стаття Інституту політики біткойнів під назвою «Доводи до біткойна як резервного активу» стверджує, що…
Популярний криптовалютний аналітик Майкл ван де Поппе підкреслив життєво важливі рівні цін на ринку Ethereum…
Виходячи з даних про ціну, останні два тижні жовтня є періодом найбільшого зростання в історії…
Біткойн (BTC) зафіксував значне зростання за останні 14 днів, наблизившись до позначки в 70 000…
Зростання випуску державних облігацій на основі блокчейну може вплинути на глобальні боргові ринки через потенційне…