Į nepakeičiamą žetonų rinkos platformą, pastatytą ant Arbitrum, vadinamą Treasure DAO, buvo įsilaužta kovo 3 d. 7 val. (EST), remiantis post mortem analize, kurią sukūrė į saugumą orientuota įmonė Certik. Bendrovės ataskaitoje pažymima, kad „išpuolio metu buvo pavogta daugiau nei 33 NFT“, nes užpuolikas pasinaudojo rinkos funkcijos „pirkėjas pirkti prekes“ pažeidžiamumu.
„Certik“ atlikta post mortem analizė rodo, kad „Arbitrum NFT“ prekybos platformos lobis DAO išnaudotas daugiau nei 100 NFT
Pirmaujanti Arbitrum NFT prekyvietė Treasure DAO buvo užpulta ketvirtadienį, kai užpuolikas atrado išnaudojimą, dėl kurio buvo prarasta „daugiau nei 100 NFT iš nieko neįtariančių vartotojų“. Atakos post mortem analizė buvo išsiųsta Bitcoin.com News iš blokų grandinės saugos firmos Certik, įmonės, kuri analizuoja, stebi ir vertina išmaniąsias sutartis, blockchain technologijas ir decentralizuotus finansų (defi) protokolus.
„Treasure DAO, Arbitrum NFT prekybos platforma, pasinaudojo nežinomas užpuolikas, kuris pasinaudojo platformos kodo trūkumu“, – išsamiai aprašoma Certik analizė. „Dėl išnaudojimo nieko neįtariantys vartotojai prarado daugiau nei 100 NFT. Po tam tikros pradinės analizės ir įsilaužėlio piniginės susekimo „Twitter“ buvo grąžinta daug pavogtų NFT.
Be to, Certik „Treasure DAO“ situacijos analizėje pažymima, kad protokolo pradinis ženklas MAGIC sumažino daugiau nei 40% nuostolių JAV dolerio atžvilgiu. Treasure DAO įkūrėjas Johnas Pattenas taip pat tweeted apie įvykį po to, kai užpuolikas pavogė lėšas. „Išnaudojama lobių turgavietė. Pašalinkite savo elementus. Mes padengsime eksploatavimo išlaidas – aš asmeniškai atiduosiu visus savo „Smols“, kad tai suremontuotų“, – sakė Pattenas. Treasure DAO įkūrėjas pridūrė:
Negaliu suvokti, kokie nežmoniški taikiniai siekia sąžiningos apiplėšimo rinkos, bet jie nenugalės bendruomenės.
„Certik“ teigia, kad nuolatinė grandinės analizė ir auditas prieš diegimą gali pažaboti būsimus „Blockchain“ protokolo išnaudojimus
„Certik“ saugumo analitikai teigia, kad niekas nežino, kas slypi už išnaudojimo, tačiau pridūrė, kad daugelis vartotojų „tiesiog džiaugiasi, kad buvo grąžinti pavogti NFT“. Įmonės post mortem situacijos santrauka baigiama priduriant, kad tiesiog išnaudojant vieną kodo eilutę gali atsirasti didelių nuostolių. Įmonė nuoširdžiai tiki, kad konkrečių blokų grandinės protokolų stebėjimas grandinėje ir auditas prieš įdiegimą gali padėti sustabdyti būsimus pažeidžiamumus.
„Šis įsilaužimas dar kartą pabrėžia milijonų dolerių pasekmes, kurias gali turėti viena kodo eilutė“, – teigiama Certiko ataskaitoje. „Išsamus auditas prieš diegimą kartu su nuolatine grandinės analize yra geriausias būdas Web3 projektams parodyti savo įsipareigojimą užtikrinti saugumą ir užtikrinti savo klientams, kad jų lėšos yra saugios.
Ką manote apie Treasure DAO įsilaužimą ir Certiko post mortem ataskaitą? Praneškite mums, ką manote apie šią temą toliau pateiktame komentarų skyriuje.
Vaizdo kreditai: „Shutterstock“, „Pixabay“, „Wiki Commons“
Atsakomybės neigimas: Šis straipsnis skirtas tik informaciniams tikslams. Tai nėra tiesioginis pasiūlymas pirkti ar parduoti ar jo prašymas arba bet kokių produktų, paslaugų ar bendrovių rekomendacija ar patvirtinimas. Bitcoin.com neteikia patarimų investavimo, mokesčių, teisinių ir apskaitos klausimais. Nei įmonė, nei autorius nėra tiesiogiai ar netiesiogiai atsakingi už bet kokią žalą ar nuostolius, kuriuos sukėlė ar tariamai sukėlė bet koks šiame straipsnyje minimo turinio, prekių ar paslaugų naudojimas ar priklausymas nuo jų.
Šaltinis: https://news.bitcoin.com/attacker-hacks-arbitums-treasure-dao-for-over-100-nfts-by-leveraging-marketplace-exploit/