За даними компанії безпеки блокчейнів SlowMist, OKX DEX, децентралізована платформа-агрегатор обміну, втратила криптовалюту на суму понад 400 000 доларів США.
Згідно з поясненням уразливості, зловмисник зміг передати токени, які користувачі не дозволили, порушивши привілеї керування контрактом маркет-мейкера.
На платформі агрегатора OKX DEX застарілий проксі-контракт нещодавно став предметом уразливості, яка дозволила хакеру отримати адміністративний доступ до контракту без авторизації.
OKX DEX: Застарілий контракт викликає занепокоєння
Коли протокол припиняє активно використовувати контракт для виконання транзакцій користувача, він вважається застарілим. Схоже, що OKX оновив контракт, але не повністю припинив його використання.
?SlowMist Security Alert: OKX DEX Proxy Admin Owner’s Private Key Suspected to be Leaked?
According to information from SlowMist Zone, the OKX DEX contract appears to have encountered an issue. After SlowMist’s analysis, it was found that when users exchange, they authorize…
— SlowMist (@SlowMist_Team) December 13, 2023
За даними фірми безпеки блокчейну SlowMist, у функції вимоги до смарт-контракту OKX DEX виникла проблема. Контракт TokenApprove, який вимагав авторизації користувача, викликає можливість надсилати готівку до надійного проксі DEX.
12 грудня команда SlowMist повідомила, що адміністратор OKX DEX Proxy оновив контракт DEX Proxy за допомогою нової реалізації. Мета цієї нової реалізації полягала в тому, щоб викликати функцію claimTokens безпосередньо з контракту DEX.
Загальна ринкова капіталізація криптовалюти становить 1,51 трильйона доларів на щоденному графіку: TradingView.com
Біржа повідомила, що 18 із затверджених адрес для контракту були скомпрометовані, і пов’язала цю подію з порушенням прав на управління скасованим контрактом маркет-мейкера OKX DEX.
Крім того, біржа пообіцяла повернути гроші всім постраждалим користувачам. Він також проведе комплексну перевірку безпеки, щоб запобігти повторенню подібного.
We regret to inform you that a deprecated smart contract on OKX Dex has been compromised. We have taken immediate action to secure all user funds and revoke the contract permissions. We are working with relevant agencies to locate the stolen funds and will reimburse affected… pic.twitter.com/zDIjhb3ETz
— OKX Web3 (Wallet | DeFi | NFT) (@okxweb3) December 13, 2023
OKX Hack: фактичні збитки невідомі
За словами ПекШилда, іншого дослідника, який спеціалізується на безпеці блокчейну, ця вразливість коштувала понад 2,76 мільйона доларів.
Вважається, що за останні 30 днів у OKX DEX було понад 50 000 активних гаманців користувачів;однак невідомо, скільки користувачів постраждали від останнього злому.
Користувачам слід бути обережними під час спілкування за допомогою протоколів DeFi, особливо тих, які підтримуються відомими фірмами в галузі, як це було підкреслено порушенням OKX DEX.
