Старий контракт, який раніше використовувався криптовалютною біржею Dolomite, був використаний приблизно на 1,8 мільйона доларів, згідно зі звітом платформи безпеки блокчейнів CertiK від 20 березня, з яким ознайомився Cointelegraph. Експлойт вплинув на користувачів, які раніше авторизували схвалення контракту, і команда розробників рекомендувала відкликати схвалення на адресу Ethereum Dolomite, яка починається з 0xe2466.
Команда розробників стверджувала, що це не повинно вплинути на користувачів, які взаємодіяли лише з поточною версією Arbitrum. Вони також відключили несправний контракт, який повинен захистити користувачів, які ще не стали жертвами атаки. Незважаючи на це, команда стверджувала, що користувачі повинні відкликати схвалення цього контракту.
Згідно зі звітом CertiK, зловмисник скористався функцією під назвою «callFunction», яка дозволяє користувачеві здійснювати будь-які довільні виклики. Ця функція захищена модифікатором «noEntry», який за звичайних обставин повинен запобігати будь-яким атакам повторного входу. Однак цей захист можна обійти за допомогою контракту TradeManager, розташованого за адресою 0xe2466, який містить функцію «виклику», яка не має захисту від повторного входу. Таким чином, зловмисник міг використовувати цей контракт для виведення коштів з користувачів, стверджує CertiK.
Зловмисник переказав усі вкрадені кошти на адресу 0x5eAA7DadA44d59549A6c58008b2bd3C7F81d2502, а потім вніс їх у Tornado Cash, заявив Сертік.
За темою: ParaSwap уникає злому, націленого на вразливість контракту Augustus v6
Цей експлойт є одним із кількох, які сталися в березні.11 березня протокол Unizen на Ethereum втратив понад 2,1 мільйона доларів через експлойт підтвердження. У цьому випадку команда розробників пообіцяла відшкодувати користувачам якнайшвидше.15 березня Mozaic Finance втратила понад 2,4 мільйона доларів через компрометацію закритого ключа.
