Bitcoin

Ο επιτιθέμενος χακάρει το Arbitrum's Treasure DAO για πάνω από 100 NFTs μέσω Leveraging Marketplace Exploit – Bitcoin News

03/04/2022
Bitcoin Ethereum News
Attacker Hacks Arbitrum's Treasure DAO for Over 100 NFTs by Leveraging Marketplace Exploit

Μια μη ανταλλάξιμη πλατφόρμα αγοράς διακριτικών που χτίστηκε πάνω από το Arbitrum που ονομάζεται Treasure DAO παραβιάστηκε στις 3 Μαρτίου στις 7:33 π.μ. (EST), σύμφωνα με μια μεταθανάτια ανάλυση που συντάχθηκε από την εταιρεία Certik που εστιάζει στην ασφάλεια. Η αναφορά της εταιρείας σημειώνει ότι "πάνω από 100 NFT κλάπηκαν στην επίθεση", καθώς ο εισβολέας χρησιμοποίησε μια ευπάθεια στη λειτουργία "αγοραστής αντικειμένου" της αγοράς.

Η μεταθανάτια ανάλυση από την Certik δείχνει ότι το Arbitrum NFT Trading Platform Treasure DAO έχει αξιοποιηθεί για περισσότερα από 100 NFT

Η κορυφαία αγορά Arbitrum NFT Treasure DAO δέχθηκε επίθεση την Πέμπτη, αφού ένας εισβολέας ανακάλυψε μια εκμετάλλευση που είχε ως αποτέλεσμα την απώλεια «περισσότερων από 100 NFT από ανυποψίαστους χρήστες». Η μεταθανάτια ανάλυση της επίθεσης στάλθηκε στο Bitcoin.com News από την εταιρεία ασφάλειας blockchain Certik, μια εταιρεία που αναλύει, παρακολουθεί και αξιολογεί έξυπνα συμβόλαια, τεχνολογία blockchain και πρωτόκολλα αποκεντρωμένης χρηματοδότησης (defi).

"Το Treasure DAO, μια πλατφόρμα συναλλαγών NFT στο Arbitrum, έγινε αντικείμενο εκμετάλλευσης από έναν άγνωστο εισβολέα που εκμεταλλεύτηκε ένα ελάττωμα στον κώδικα της πλατφόρμας", αναφέρει η ανάλυση του Certik. «Το exploit είχε ως αποτέλεσμα την απώλεια περισσότερων από 100 NFT από ανυποψίαστους χρήστες. Μετά από κάποια αρχική ανάλυση και εντοπισμό του πορτοφολιού του χάκερ στο Twitter, πολλά κλεμμένα NFT επιστράφηκαν».

Εικόνα
Ο εισβολέας χακάρει το Arbitrum's Treasure DAO για πάνω από 100 NFT μέσω Leveraging Marketplace Exploit
«Ο εισβολέας εκμεταλλεύτηκε ένα σφάλμα στη συνάρτηση Buyer.buyItem του marketplace, το οποίο του επέτρεψε να ορίσουν την _quantity ίση με 0», λέει η νεκροψία του Certik. «Με ποσότητα 0, η συνολικήΤιμή είναι επίσης 0, ως συνολικήΤιμή = _τιμήΑνάΣτοιχείο * _ποσότητα. Αυτό σημαίνει ότι ο εισβολέας δεν πλήρωσε τίποτα για τα NFT που «αγόρασε». Καθώς δεν απαιτείται η _quantity > 0, η συνάρτηση εκτελείται κανονικά. Αυτό το σφάλμα θα μπορούσε να επιλυθεί απαιτώντας μια τιμή μεγαλύτερη από 0 για τη μεταβλητή _quantity."

Επιπλέον, η ανάλυση του Certik για την κατάσταση του Treasure DAO σημειώνει ότι το εγγενές διακριτικό MAGIC του πρωτοκόλλου έχασε πάνω από 40% σε απώλειες έναντι του δολαρίου ΗΠΑ. Ο συνιδρυτής του Treasure DAO, John Patten, επίσης tweeted για το γεγονός μετά την κλοπή των κεφαλαίων από τον δράστη. «Η αγορά θησαυρού γίνεται αντικείμενο εκμετάλλευσης. Διαγράψτε τα στοιχεία σας. Θα καλύψουμε το κόστος του exploit—προσωπικά θα εγκαταλείψω όλα τα Smol μου για να το επισκευάσω», είπε ο Patten. Ο συνιδρυτής του Treasure DAO πρόσθεσε:

Δεν μπορώ να καταλάβω ποιος υπάνθρωπος στοχεύει μια δίκαιη αγορά για ληστεία, αλλά δεν θα νικήσει την κοινότητα.

Ο Certik λέει ότι η συνεχής ανάλυση στην αλυσίδα και οι έλεγχοι πριν από την ανάπτυξη μπορούν να περιορίσουν τις μελλοντικές εκμεταλλεύσεις πρωτοκόλλου blockchain

Οι αναλυτές ασφαλείας της Certik λένε ότι κανείς δεν γνωρίζει ποιος ήταν πίσω από το exploit, αλλά πρόσθεσαν ότι πολλοί χρήστες «απλώς είναι χαρούμενοι που τα κλεμμένα NFTs τους επέστρεψαν». Η μεταθανάτια σύνοψη της κατάστασης της εταιρείας καταλήγει προσθέτοντας ότι σημαντικές απώλειες μπορούν να προκύψουν με την απλή εκμετάλλευση μιας γραμμής κώδικα. Η εταιρεία πιστεύει ολόψυχα η on-chain παρακολούθηση συγκεκριμένων πρωτοκόλλων blockchain και οι έλεγχοι πριν από την ανάπτυξη μπορούν να βοηθήσουν να σταματήσουν μελλοντικές ευπάθειες.

«Αυτό το hack υπογραμμίζει για άλλη μια φορά τις συνέπειες εκατομμυρίων δολαρίων που μπορεί να έχει μια μόνο γραμμή κώδικα», καταλήγει η έκθεση του Certik. "Ένας ενδελεχής έλεγχος πριν από την εγκατάσταση σε συνδυασμό με συνεχή ανάλυση on-chain είναι ο καλύτερος τρόπος για τα έργα Web3 να επιδείξουν τη δέσμευσή τους στην ασφάλεια και να διαβεβαιώσουν τους πελάτες τους ότι τα χρήματά τους είναι ασφαλή."

Ετικέτες σε αυτήν την ιστορία
100 NFT, Arbitrum, Arbitrum Chain, εισβολέας, Blockchain Security, bug Treasure DAO, certik, Certik analysis, Certik post mortem, Certik Security, Hack, Hacker, John Patten, MAGIC, Magic token, nft, NFT hack, NFT Market, NFT αγορά, NFT, Treasure DAO, Treasure DAO bug, Treasure DAO exploit, Treasure DAO hack, Web3 projects

Τι πιστεύετε για το χακάρισμα του Treasure DAO και την έκθεση μετά τη σφαγή του Certik; Πείτε μας τη γνώμη σας για αυτό το θέμα στην παρακάτω ενότητα σχολίων.

Jamie Redman

Ο Τζέιμι Ρέντμαν είναι ο επικεφαλής των ειδήσεων στο Bitcoin.com News και δημοσιογράφος χρηματοοικονομικής τεχνολογίας που ζει στη Φλόριντα. Ο Redman είναι ενεργό μέλος της κοινότητας των κρυπτονομισμάτων από το 2011. Έχει πάθος για το Bitcoin, τον κώδικα ανοιχτού κώδικα και τις αποκεντρωμένες εφαρμογές. Από τον Σεπτέμβριο του 2015, ο Redman έχει γράψει περισσότερα από 5,000 άρθρα για το Bitcoin.com News σχετικά με τα ανατρεπτικά πρωτόκολλα που εμφανίζονται σήμερα.




Εικόνες Credits: Shutterstock, Pixabay, Wiki Commons

Αποποίηση ευθυνών: Αυτό το άρθρο προορίζεται μόνο για ενημερωτικούς σκοπούς. Δεν είναι μια άμεση προσφορά ή πρόσκληση μιας προσφοράς για αγορά ή πώληση, ή μια σύσταση ή έγκριση οποιωνδήποτε προϊόντων, υπηρεσιών ή εταιρειών. Το Bitcoin.com δεν παρέχει επενδυτικές, φορολογικές, νομικές ή λογιστικές συμβουλές. Ούτε η εταιρεία ούτε ο συγγραφέας είναι υπεύθυνοι, άμεσα ή έμμεσα, για οποιαδήποτε ζημία ή απώλεια που προκλήθηκε ή φέρεται να προκαλείται από ή σε σχέση με τη χρήση ή την εξάρτηση από οποιοδήποτε περιεχόμενο, αγαθά ή υπηρεσίες που αναφέρονται σε αυτό το άρθρο.

Πηγή: https://news.bitcoin.com/attacker-hacks-arbitrums-treasure-dao-for-over-100-nfts-by-leveraging-marketplace-exploit/