Ankstyvosiose ataskaitose incidentas buvo suformuluotas kaip 1 colio išnaudojimas, tačiau protokole buvo paaiškinta, kad jis nebuvo pažeistas ir nebuvo paveiktos jokios vartotojo lėšos.
„TrustedVolumes“, likvidumo tiekėjas „Ethereum“ grandinėje, ketvirtadienį įsilaužėliui prarado apie 5,9 mln.
Užpuolikas sugebėjo išnaudoti platformos naudojamos tinkintos prekybos sistemos pažeidžiamumą ir sugebėjo atsiimti lėšas, įskaitant ETH, WBTC, taip pat USDT ir USDC stabilias monetas.
Kas atsitiko
„Blockchain“ saugos įmonės „Blockaid“, kuri užfiksavo išnaudojimą, duomenimis, pavogtos lėšos apėmė 1 291 WETH, maždaug 16,9 WBTC, maždaug 206 000 USDT ir šiek tiek mažiau nei 1,27 mln. USDC.
Ataka buvo įvykdyta piktnaudžiaujant „TrustedVolumes“ pasirinktinės užsakymų atsiskaitymo sistemos, vadinamos „Request for Quote“ (RFQ) tarpiniu serveriu, dizaino trūkumu.
„GoPlus Security“ paskelbė suskirstymą, rodantį, kad užpuolikas užsiregistravo kaip įgaliotasis „užsakymo pasirašytojas“, naudodamas funkciją „registerAllowedOrderSigner()“, kuri buvo viešai prieinama.
Ši funkcija leidžia kiekvienam priskirti savo adresą kaip galiojantį pasirašantįjį sandoriams, kuriuos jie kontroliuoja, ir nors paprastai tai būtų pakankamai nekenksminga, atsiskaitymo funkcija turėjo atskirą problemą: ji patikrino autorizaciją pagal vieną adresą, o iš tikrųjų paėmė lėšas iš kito.
Kaip išsamiai aprašyta saugos tyrinėtojo Defi Nerd paskelbtoje techninėje ataskaitoje, užpuolikas panaudojo tą spragą, kad įvykdytų keturias nutekėjimo operacijas pagal „TrustedVolumes“ sprendiklio sutartį, kuri anksčiau suteikė įgaliotajam serveriui leidimą perkelti savo žetonus.
Jums taip pat gali patikti:
Anot jų, kiekvieną kartą įgaliotasis serveris paimdavo turtą iš sprendiklio ir grąžindavo tik vieną neapdorotą USDC vienetą. Tada užpuolikas pavogtą WETH vėl pavertė ETH ir viską persiuntė į savo piniginę.
„TrustedVolumes“ patvirtino išnaudojimą ir viešai paskelbė tris piniginės adresus, kuriuose saugomos pavogtos lėšos, prašydami įsilaužėlio susisiekti dėl „labumo dėl klaidų ir abipusiai priimtino sprendimo“.
1 colio atstumai patys, nes DeFi įsilaužimai tęsiasi
Kadangi „TrustedVolumes“ veikia kaip 1 colio likvidumo tiekėjas ir rinkos formuotojas, kai kuriose ankstyvose ataskaitose incidentas buvo suformuluotas kaip 1 colio išnaudojimas.
Tačiau tai nėra tikslu, ir 1 colis, ir Blockaid pateikė pareiškimus, kuriuose paaiškinama, kad pats protokolas nebuvo pažeistas ir nebuvo paveiktos 1 colio vartotojo lėšos. TrustedVolumes veikia nepriklausomai keliose platformose, o ne tik 1 colio.
Ataka įvyko ypač sunkiu DeFi ekosistemai laikotarpiu, nes po katastrofiško balandžio mėnesio, kai iš įvairių projektų buvo pavogta daugiau nei 650 mln. USD vertės kriptovaliutų.
Labiausiai nukentėjo „KelpDAO“ ir „Drift Protocol“, iš kurių buvo atimti 292 mln. USD ir 285,2 mln.
Taigi, 5,9 mln. USD, šis naujausias išnaudojimas yra mažesnio masto. Tačiau dėl techninio požiūrio sudėtingumo, pagalbinės sutarties diegimo, piktnaudžiavimo savitarnos pasirašančiojo registravimo ir išnaudojimo kūrėjo / finansavimo šaltinio neatitikimo viename sandoryje, jis patenka į kitą kategoriją nei paprasta klaida ar netinkama konfigūracija.
