Действительно глупая ошибка «умного контракта», позволившая хакерам украсть 31 миллион долларов цифровой монеты

    0
    63


    Крупным планом фото ручного сенсорного экрана.

    Блокчейн-стартап MonoX Finance заявил в среду, что хакер украл 31 миллион долларов, воспользовавшись ошибкой в ​​программном обеспечении, которое сервис использует для составления смарт-контрактов.

    Компания использует децентрализованный финансовый протокол, известный как MonoX, который позволяет пользователям торговать токенами цифровой валюты без некоторых требований традиционных бирж. «Владельцы проектов могут размещать свои токены без бремени требований к капиталу и сосредоточиться на использовании средств для создания проекта, а не на обеспечении ликвидности», – говорят здесь представители компании MonoX. «Он работает, группируя депонированные токены в виртуальную пару с помощью vCASH, чтобы предложить единый пул токенов».

    Ошибка учета, встроенная в программное обеспечение компании, позволила злоумышленнику взвинтить цену токена MONO и затем использовать его для обналичивания всех других депонированных токенов, сообщила MonoX Finance в своем сообщении. Улов составил 31 миллион долларов токенов на блокчейнах Ethereum или Polygon, оба из которых поддерживаются протоколом MonoX.

    В частности, во взломе использовался тот же токен, что и в tokenIn и tokenOut, которые являются методами обмена значения одного токена на другой. MonoX обновляет цены после каждого свопа, вычисляя новые цены для обоих токенов. Когда своп завершен, цена tokenIn, то есть токена, отправленного пользователем, уменьшается, а цена tokenOut – или токена, полученного пользователем, – увеличивается.

    Используя один и тот же токен как для tokenIn, так и для tokenOut, хакер значительно взвинтил цену токена MONO, потому что обновление tokenOut перезаписало обновление цены tokenIn. Затем хакер обменял токен на токены на сумму 31 миллион долларов на блокчейнах Ethereum и Polygon.

    Нет практических причин для обмена токена на тот же токен, и поэтому программное обеспечение, которое проводит торги, никогда не должно было разрешать такие транзакции. Увы, да, несмотря на то, что MonoX прошел три аудита безопасности в этом году.

    Подводные камни смарт-контрактов

    «Подобные атаки распространены в смарт-контрактах, потому что многие разработчики не прикладывают усилий для определения свойств безопасности для своего кода», – сказал Дэн Гуидо, эксперт по защите смарт-контрактов, подобных взломанному здесь. «У них были аудиты, но если аудиты только констатируют, что умный человек просматривал код в течение определенного периода времени, то результаты имеют ограниченную ценность. Смарт-контракты нуждаются в проверяемых доказательствах того, что они делают то, что вы намереваетесь, и только то, что вы намереваетесь. Это означает, что для их оценки используются определенные свойства безопасности и методы ».

    Генеральный директор консалтинговой компании по безопасности Trail of Bits Гвидо продолжил:

    Большинство программ требует устранения уязвимостей. Мы проактивно ищем уязвимости, признаем, что они могут быть небезопасными при их использовании, и создаем системы, чтобы определять, когда они становятся уязвимыми. Смарт-контракты требуют устранения уязвимостей. Методы проверки программного обеспечения широко используются для обеспечения доказуемой уверенности в том, что контракты работают должным образом. Большинство проблем безопасности в смарт-контрактах возникает, когда разработчики применяют первый подход к безопасности, а не второй. Существует множество крупных, сложных и очень ценных смарт-контрактов и протоколов, позволяющих избежать инцидентов, а также многие из них, которые сразу же использовались при запуске.

    Блокчейн-исследователь Игорь Игамбердиев взял в Твиттер чтобы разбить состав истощенных жетонов. Токены включают 18,2 миллиона долларов в Wrapped Ethereum, 10,5 миллиона долларов в токенах MATIC и на 2 миллиона долларов WBTC. Улов также включал меньшее количество токенов для Wrapped Bitcoin, Chainlink, Unit Protocol, Aavegotchi и Immutable X.

    Только последний взлом DeFi

    MonoX – не единственный децентрализованный финансовый протокол, который стал жертвой многомиллионного взлома. В октябре Indexed Finance сообщила, что потеряла около 16 миллионов долларов в результате взлома, использовавшего способ ребалансировки пулов индексов. Ранее в этом месяце компания Elliptic, занимающаяся анализом блокчейнов, заявила, что так называемые протоколы DeFi потеряли 12 миллиардов долларов на сегодняшний день из-за краж и мошенничества. Убытки за первые 10 месяцев этого года достигли 10,5 млрд долларов по сравнению с 1,5 млрд долларов в 2020 году.

    «Относительная незрелость базовой технологии позволила хакерам красть средства пользователей, в то время как глубокие пулы ликвидности позволяли преступникам отмывать доходы от преступной деятельности, такие как программы-вымогатели и мошенничество», – говорится в отчете Elliptic. «Это часть более широкой тенденции использования децентрализованных технологий в незаконных целях, которую Elliptic называет DeCrime».

    В сообщении MonoX в среду говорится, что за прошедший день члены команды предприняли следующие шаги:

    • Пытался установить контакт с злоумышленником, чтобы открыть диалог, отправив сообщение через транзакцию в основной сети ETH.
    • Приостановлен контракт и будет внедрено исправление, чтобы пройти более тщательное тестирование. После разработки адекватного плана компенсации мы будем работать над снятием паузы после того, как наши партнеры по безопасности дадут согласие.
    • Связался с крупными биржами, чтобы отслеживать и, возможно, останавливать любой адрес кошелька, связанный с атакой.
    • Сотрудничество с нашими консультантами по безопасности для достижения прогресса в идентификации хакера и способов снижения будущих рисков.
    • Перекрестные ссылки взаимодействия кошелька Tornado Cash с кошельками, которые также использовали нашу платформу
    • Выполняется поиск любых метаданных, оставшихся после взаимодействия внешнего интерфейса с нашим Dapp.
    • Подробные и сопоставленные адреса кошельков, которые могут быть сочтены «подозрительными» на основании их взаимодействия с нашим продуктом. Например, удаление большого количества ликвидности перед эксплойтом.
    • Постоянный мониторинг кошелька с деньгами. На данный момент на Tornado Cash было отправлено 100 ETH из украденных средств. Остальное все еще там.
    • Кроме того, мы подадим официальный отчет в полицию.

    В сообщении говорится, что у MonoX Finance есть страховка, которая покроет убытки на сумму 1 миллион долларов, и что теперь компания «работает над распределением».



    Предыдущая статьяПостоянные события NieR Replicant Remaster, которые вы не можете повторить
    Следующая статьяПочему игроки GTA Online пропускают миссии такси, линчевателей и медиков
    Петр Григорин
    Интересуется софтом, разработкой и использование новых приложений, технология искусственного интеллекта. Этот писатель - человек с техническими знаниями, который увлечен разработкой программного обеспечения и использованием новых приложений. Его особенно интересуют технологии искусственного интеллекта и то, как они могут быть использованы для улучшения различных отраслей промышленности и повседневной жизни. Обладая прочной основой в области информатики и острым взглядом на инновации, этот писатель обязательно привнесет ценные идеи и соображения в любую дискуссию на эти темы. Пишет ли он о последних открытиях в области ИИ или исследует потенциал новых программных инструментов, его работа обязательно будет увлекательной и заставляющей задуматься.