Базовый эксплойт блокчейна привел к краже 1 миллиона долларов — Cyvers Alerts

Самые главные криптоновости в Телеграм-канале CryptoMoon, присоединяйтесь!👇

Cryptomoon Telegram


Как опытный криптоинвестор, умеющий ориентироваться в цифровом финансовом ландшафте, я не могу не почувствовать укол разочарования, услышав о краже 1 миллиона долларов в блокчейне Base. Мир DeFi увлекателен, но кажется, что каждый раз, когда мы делаем шаг вперед, мы сталкиваемся с препятствием, напоминающим нам о проблемах, которые возникают на этом новом рубеже.

Нарушение безопасности, возникшее из-за непроверенных кредитных соглашений в блокчейне Base, привело к предполагаемой потере около одного миллиона долларов.

О мероприятии, продолжавшемся несколько часов, 25 октября рассказала фирма по кибербезопасности Cyvers Alerts в сообщении в стиле Reddit.

Злоумышленник воспользовался слабостью системы смарт-контрактов Wrapped Ether (WETH), сумел контролировать стоимость и в конечном итоге истощил ресурсы.

Базовый эксплойт блокчейна привел к краже 1 миллиона долларов — Cyvers Alerts

Эксплойт манипулирования ценами

Проще говоря, первоначальный сомнительный перевод истощил примерно 993 534 доллара США из неподтвержденных кредитных соглашений базового блокчейна, которые еще не были проверены.

Другими словами: большая часть украденных денег была переведена в сеть Ethereum, а впоследствии около 202 549 долларов было размещено на конфиденциальной платформе Tornado Cash. С помощью того же метода эксплойта была получена дополнительная сумма в 455 127 долларов.

Во время письменного интервью CryptoMoon Хакан Унал, старший руководитель Центра операций безопасности (SOC) Cyvers Alerts, обрисовал слабое место, которое было атаковано во время инцидента.

«Оракул, используемый в этих контрактах, не был надежным, полагаясь только на одну пару с ограниченной ликвидностью в ~ 400 тысяч долларов, что делало его восприимчивым к колебаниям цен, которыми можно было манипулировать».

Последствия для безопасности и предотвращение

Изучение сомнительных кредитных соглашений без надлежащей проверки во время кризиса подчеркивает потенциальные опасности, скрытые в системах децентрализованного финансирования (DeFi), особенно в тех, в которых отсутствуют надежные протоколы безопасности.

Унал предположил, что для предотвращения подобных атак в будущем можно использовать более надежную, разнообразную систему прогнозирования с большей ликвидностью, особенно для таких активов, как WETH. Это сделано для того, чтобы минимизировать риск манипулирования ценами.

«Усиленная комплексная проверка при проверке кредитных контрактов, особенно в отношении используемых оракулов, может смягчить эти риски».

Кто виноват?

Унал сообщил CryptoMoon, что «преступник успешно скрылся со средствами, полученными путем использования уязвимости в схеме манипулирования ценами».

«Ответственность, скорее всего, ляжет на организацию, управляющую непроверенными кредитными контрактами, а также на тех, кто несет ответственность за выбор недостаточно надежного оракула для проверки цен».

Злоумышленник пока не установлен, и ему удалось скрыться с украденными средствами. 

Это событие подчеркивает важность усиления мер безопасности на платформах децентрализованного финансирования (DeFi), чтобы защитить активы пользователей и точно проверять контракты в будущем, тем самым снижая вероятность повторения таких инцидентов.

Смотрите также

2024-10-25 15:21