2 грудня певна лабораторія виявила через у блокчейні дані моніторингу, що проект aBNBc зазнав атаки хакера, в результаті чого відбулося масове збільшення випуску токенів. Хакер успішно збільшив випуск великої кількості токенів aBNBc, частина з яких була обміняна на BNB через децентралізовану платформу, а частина залишилася в гаманці. Крім того, хакер також використав інструменти для змішування монет для переміщення коштів. Цей інцидент атаки призвів до виснаження пулу ліквідності токенів aBNBc, ціна монети різко впала, а нападник використовував збільшені токени для позики під заставу, завдаючи збитків платформі кредитування.
Аналізуючи дані декількох транзакцій, було виявлено, що, незважаючи на різні адреси виклику, всі вони призвели до емісії токенів. Проєкт зазнав атаки після оновлення контракту, і в логічному контракті після оновлення функція емісії не мала перевірки прав.
Атакуючи викликали специфічну функцію в логічному контракті через проксі-контракт. Оскільки ця функція не проходила перевірку прав доступу, це призвело до масового випуску токенів aBNBc. Після атаки команда проєкту знову оновила логічний контракт, додавши механізм перевірки прав доступу до функції випуску.
Наразі хакер вже обміняв частину випущених aBNBc на BNB та перемістив їх, значна частина залишкових aBNBc все ще затримується в гаманці атакуючого.
Ця атака в основному виникла через оновлення контракту, під час якого функція емісії в новій логіці контракту не мала перевірки прав, що дало змогу хакеру безперешкодно випустити токени. Наразі неясно, чи використовувався код контракту, який не пройшов безпекову перевірку та тестування, чи через витік приватного ключа хакер самостійно оновив контракт.
Ця подія нагадує користувачам та проектам про необхідність належного зберігання приватних ключів та мнемонічних фраз гаманців, щоб уникнути випадкового зберігання. Водночас, під час оновлення контрактів необхідно провести всебічне безпекове тестування, щоб запобігти подібним ризикам.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
18 лайків
Нагородити
18
4
Репост
Поділіться
Прокоментувати
0/400
NFTArtisanHQ
· 08-14 19:27
ще один проект DeFi став жертвою естетики поганого дизайну смарт-контрактів... чесно кажучи, досить поетично
aBNBc зазнав атаки хакера, уразливість функції випуску призвела до падіння токенів.
2 грудня певна лабораторія виявила через у блокчейні дані моніторингу, що проект aBNBc зазнав атаки хакера, в результаті чого відбулося масове збільшення випуску токенів. Хакер успішно збільшив випуск великої кількості токенів aBNBc, частина з яких була обміняна на BNB через децентралізовану платформу, а частина залишилася в гаманці. Крім того, хакер також використав інструменти для змішування монет для переміщення коштів. Цей інцидент атаки призвів до виснаження пулу ліквідності токенів aBNBc, ціна монети різко впала, а нападник використовував збільшені токени для позики під заставу, завдаючи збитків платформі кредитування.
Аналізуючи дані декількох транзакцій, було виявлено, що, незважаючи на різні адреси виклику, всі вони призвели до емісії токенів. Проєкт зазнав атаки після оновлення контракту, і в логічному контракті після оновлення функція емісії не мала перевірки прав.
Атакуючи викликали специфічну функцію в логічному контракті через проксі-контракт. Оскільки ця функція не проходила перевірку прав доступу, це призвело до масового випуску токенів aBNBc. Після атаки команда проєкту знову оновила логічний контракт, додавши механізм перевірки прав доступу до функції випуску.
Наразі хакер вже обміняв частину випущених aBNBc на BNB та перемістив їх, значна частина залишкових aBNBc все ще затримується в гаманці атакуючого.
Ця атака в основному виникла через оновлення контракту, під час якого функція емісії в новій логіці контракту не мала перевірки прав, що дало змогу хакеру безперешкодно випустити токени. Наразі неясно, чи використовувався код контракту, який не пройшов безпекову перевірку та тестування, чи через витік приватного ключа хакер самостійно оновив контракт.
Ця подія нагадує користувачам та проектам про необхідність належного зберігання приватних ключів та мнемонічних фраз гаманців, щоб уникнути випадкового зберігання. Водночас, під час оновлення контрактів необхідно провести всебічне безпекове тестування, щоб запобігти подібним ризикам.