Egy hackernek sikerült több mint 6 millió dollárt kivonnia a Delta Prime decentralizált pénzügyi (DeFi) protokollból úgy, hogy tetszőlegesen nagy számú letéti elismervény-tokent mintelt.
Az Arbiscan blokkfelfedező adatai szerint a támadó több mint 115 duovigigintillió Delta Prime USD (DPUSDC) tokent mintelt a kezdeti támadás során, ami több mint 1,1*10^69 tudományos jelöléssel.
A DPUSDC egy letéti igazolás a Delta Prime-nál tartott USDC stabilcoinról. Célja, hogy 1:1 arányban USDC-re váltható legyen.
Annak ellenére, hogy a támadó ekkora mennyiségű USDC betétbizonylatot mintelt, csak 2,4 milliót égetett el belőlük, és cserébe 2,4 millió USDC stabilcoin-t kapott.
A támadó ezután megismételte ezeket a lépéseket más letéti elismervény-tokenek esetében, és több mint 1 duovgintillió Delta Prime Wrapped Bitcoin (DPBTCb), 115 oktodecillió Delta Prime Wrapped Ether (DPWETH), 115 oktodecillió Delta Prime Arbitrum (DPARB) és sok más letéti elismervény-tokent mintelt, végül a végösszeg egy apró töredékét beváltotta, hogy több mint 1 millió dollárnyi Bitcoin, Ether, Arbitrum (ARB) és más tokeneket kapjon.
Chaofan Shou blokkláncbiztonsági szakértő szerint a támadó eddig mintegy 6 millió dollárnyi pénzt lopott el.
A támadó úgy tudta kiváltani ezeket a letéti elismervényeket, hogy először megszerezte az irányítást egy b1afb végződésű adminfiók felett, amit valószínűleg a fejlesztő privát kulcsának ellopásával ért el.
Ezt a fiókot használva meghívtak egy „upgrade” függvényt a protokoll minden egyes likviditási pool szerződésén.
Ezeket a függvényeket szoftverfrissítésekhez kell használni. Lehetővé teszik a fejlesztő számára, hogy megváltoztassa a szerződésben lévő kódot azáltal, hogy a proxy egy másik végrehajtási címre mutat.
A támadó azonban ezeket a funkciókat arra használta, hogy minden egyes proxyt egy rosszindulatú szerződésre irányítson, amelyet a támadó hozott létre.
Minden egyes rosszindulatú szerződés lehetővé tette a támadó számára, hogy tetszőlegesen nagyszámú letéti elismervényt minteljen, így gyakorlatilag minden egyes pénzalapot le tudott üríteni.
A Delta Prime elismerte a támadást egy X-posztban, mely szerint „CET 6:14-kor a DeltaPrime Blue-t (Arbitrum) megtámadták és 5,98 millió dollárt lecsapoltak”.
Állításuk szerint az Avalanche-verziójuk, a DeltaPrime Blue nem sebezhető a támadással szemben. Azt is kijelentették, hogy a protokoll biztosítása „lehetőség szerint/szükség esetén fedezi az esetleges veszteségeket”.
A Delta Prime-támadás jól szemlélteti a frissíthető szerződéseket használó DeFi-protokollok kockázatát.
A Web3 ökoszisztémát úgy tervezték, hogy megakadályozza, hogy a privát kulcsok feltörése egész protokollok kihasználásához vezessen.
Elméletileg egy támadónak minden felhasználó privát kulcsát el kellene lopnia ahhoz, hogy a teljes protokollt kiürítse.
Ha azonban a szerződések frissíthetők, az a központosítás kockázatának egy elemét vezeti be, ami ahhoz vezethet, hogy egy teljes felhasználói bázis elveszítheti a pénzét.
Ennek ellenére egyes protokollok úgy vélik, hogy a frissítés lehetőségének feladása rosszabb lehet, mint az alternatívája, mivel megakadályozhatja a fejlesztőt abban, hogy a telepítés után talált hibákat kijavítsa.
A Web3 fejlesztői továbbra is vitatkoznak arról, hogy a protokolloknak mikor kell és mikor nem szabad engedélyezniük a frissítést.
Az intelligens szerződéseket kihasználó exploitok továbbra is kockázatot jelentenek a Web3 felhasználók számára.
Szeptember 11-én egy támadó több mint 1,4 millió dollárt utalt ki egy CUT token likviditási poolból egy homályos kódsor segítségével, amely egy külön szerződés egy nem ellenőrzött függvényére mutatott.
Szeptember 3-án több mint 27 millió dollárt vontak ki a Penpie protokollból, miután a támadó sikeresen regisztrálta saját rosszindulatú szerződését tokenpiacként.
Kövesd a Kriptoworld-öt a Google News-on
Olvastad már? Egy norvég város szeretné bezárni a náluk működő Bitcoin bányát, de így emelkednek az áramdíjak
SZERETNÉD MEGKAPNI LEGFRISSEBB HÍREINKET? IRATKOZZ FEL HÍRLEVELÜNKRE!
Tájékoztatás: A kriptoworld.hu oldalon található információk és elemzések a szerzők magánvéleményét tükrözik. A jelen oldalon megjelenő írások, cikkek nem valósítanak meg a 2007. évi CXXXVIII. törvény (Bszt.) 4. § (2). bek 8. pontja szerinti befektetési elemzést és a 9. pont szerinti befektetési tanácsadást.
Bármely befektetési döntés meghozatala során az adott befektetés megfelelőségét csak az adott befektető személyére szabott vizsgálattal lehet megállapítani, melyre a jelen oldal nem vállalkozik és nem is alkalmas. Az egyes befektetési döntések előtt éppen ezért tájékozódjon részletesen és több forrásból, szükség esetén konzultáljon befektetési tanácsadóval!
A cikkekben megjelenő esetleges hibákért téves információkból eredendő anyagi károkért a kriptoworld.hu felelősséget nem vállal.