MAPO, vietinė MAP protokolo atpažinimo priemonė, nuvertėjo 96%, kai užpuolikai pasinaudojo „Sviesto tinklo” (Butter Network) kryžminės grandinės tiltu, kad nukaldintų didžiulį kiekį neteisėtų žetonų.
Santrauka
- MAPO smuko 96 % po to, kai užpuolikai pasinaudojo Butter Network tiltu, kad nukaldintų kvadrilijoną neteisėtų žetonų.
- „Blockaid“ teigė, kad užpuolikas iš „Uniswap“ telkinių išleido apie 52 ETH ir po išnaudojimo toliau laikė beveik trilijoną MAPO žetonų.
- TON TAC atgavo apie 80% turto, prarasto per atskirą 2,68 mln.
„Blockchain“ saugos įmonės „Blockaid“ teigimu, užpuolikas sukūrė kvadrilijoną MAPO žetonų dėl tilto „Solidity“ sutarties sluoksnio trūkumo, o po to į „Uniswap“ likvidumo fondus išmetė maždaug 1 milijardą žetonų.
Pardavimai nustojo apie 52 ETH, kurių vertė buvo beveik 180 000 USD, o užpuolikas ir toliau laikė beveik trilijoną MAPO žetonų, kurie vis tiek gali kelti grėsmę kitiems likvidumo fondams ir valiutų rinkoms.
„CoinGecko“ duomenys parodė, kad MAPO per kelias valandas nukrito nuo maždaug 0,003 USD iki beveik 0,0001 USD, nes išnaudojimas pribloškė teisėtą žetono apyvartą.
Vėliau „Map Protocol“ patvirtino, kad problema kilo dėl „Solidity“ sutarties įgyvendinimo, o ne dėl pažeistų raktų ar gedimų jos lengvoje kliento infrastruktūroje. Projekte teigiama, kad jis pristabdė pagrindinį tinklą ir pradėjo perkėlimo procesą, kol tyrimas tebevyksta.
Tolesniame pranešime komanda teigė, kad naujas sutarties adresas ir turto momentinės nuotraukos laiko juosta bus paskelbta atskirai. Remiantis projektu, su užpuoliku susietų piniginių valdomi žetonai nebus įtraukti į būsimus konversijos įvykius ir taptų negaliojantys perkėlimo proceso metu.
Suklastotas pakartotinio bandymo pranešimas suaktyvino neteisėtą kalyklą
Papildoma „Blockaid“ analizė parodė, kad užpuolikas pirmiausia pateikė teisėtą „Oracle“ daugialypės terpės pasirašytą pranešimą prieš įdiegdamas kenkėjišką sutartį nurodytu adresu. Vėliau užpuolikas pasipiktino tuo, kas atrodė identišku „bandyk dar kartą“, nors naudingas krovinys buvo pakeistas.
Kadangi tiltas patvirtino manipuliuojamą pakartotinio bandymo užklausą kaip autentišką, protokolas įvykdė neteisėtą kalyklą ir išleido į apyvartą naujai sukurtus MAPO žetonus, teigia „Blockaid“.
Įmonė teigė, kad išnaudojimas nebuvo susietas su pavogtais privačiais raktais ar sugadintu kriptografiniu patikrinimu. Vietoj to, „Blockaid“ incidentą apibūdino kaip „klasikinį Solidity pažeidžiamumą, apimantį kelis dinaminius laukus“.
Šiais metais DeFi sektoriuje ne kartą pasirodė kryžminių grandinių tiltų išnaudojimai, susieti su suklastotais arba netinkamai patvirtintais pranešimais. Anksčiau šią savaitę „Verus Protocol Ethereum“ tiltas prarado daugiau nei 11,5 mln.
Tuo metu „Blockaid“ palygino „Verus“ incidentą su 2022 m. „Nomad Bridge“ ir „Wormhole“ išnaudojimais, kai, kaip pranešama, suklastotais pervedimais buvo apgaudinėjami protokolai, leidžiantys išleisti lėšas. Vėliau „ExVul“ teigė, kad „Verus“ išnaudojimas buvo susijęs su suklastotu kryžminės grandinės importo naudinguoju kroviniu, kuris apeidavo tilto mechanizmo patikrinimus.
„GoPlus Security“ atskirai nurodė, kad „Verus“ išnaudojimas greičiausiai buvo susijęs su kelių grandinių pranešimo patvirtinimo gedimu, pašalinimo apėjimo problema arba prieigos kontrolės trūkumu.
TON-TAC tiltas atgauna 80% pavogto turto
Kitose grandininių tiltų sektoriuje TON-TAC, tiltas, pastatytas kaip atvirojo tinklo pratęsimas, paskelbė pomirtinį ketvirtadienį, apimantį 2,68 mln. USD eksploatavimą nuo gegužės 11 d.
Remiantis projektu, incidentas kilo dėl to, kad sekvencinės programinės įrangos viduje nebuvo patikrinimų. Pranešama, kad sistema priėmė padirbtą TON piniginę, kurioje nebuvo tinkamo kodo maišos ir kaldinimo patikrinimo, todėl atsirado dar viena neteisėta žetonų kalykla.
TON-TAC teigė, kad atkūrimo operacijos užtikrino beveik 80% paveikto turto. Nepaisant to, tiltas lieka pristabdytas, o nepriklausomas auditas peržiūri pataisytų sekvencerių infrastruktūrą ir likvidumo atkūrimo procesą.
Žemėlapio protokolas veikia kaip daugialypės grandinės tinklas, jungiantis Bitcoin su ekosistemomis, įskaitant Ethereum, BNB Chain, Tron ir Solana, kad būtų galima pervesti turtą tarp grandinių, apimančių Bitcoin, stabilias monetas ir tokenizuotą turtą.
Tuo tarpu atakų, nukreiptų prieš sąveikos infrastruktūrą, vis daugėjo decentralizuoto finansavimo srityje. Be MAPO išnaudojimo, tokie protokolai kaip THORChain, Transit Finance, TrustedVolumes, Echo Protocol, Ekubo ir RetoSwap taip pat pranešė apie saugumo incidentus pastarosiomis savaitėmis.
