«Белые хакеры» предотвратили кражу 25 000 ETH из смарт-контракта Lien Finance
«Белый хакер» под псевдонимом samczsun обнаружил уязвимость в смарт-контракте Lien Finance на блокчейне Эфириума, предотвратив кражу 25 000 ETH (около $10 млн). Samczsun обнаружил уязвимость 15 сентября, занимаясь поиском багов в смарт-контрактах Эфириума. «Хакер» случайно нашел контракт протокола Lien Finance, в котором содержалось свыше 25 000 ETH. samczsun выяснил, что вывести монеты из этого смарт-контракта мог любой желающий. В нем была функция «сжигания», с помощью которой пользователи могли самостоятельно выпускать токены, не имеющие ценности, и обменивать их на эфиры, хранящиеся в смарт-контракте. Учитывая анонимность команды Lien Finance, исследователь сообщил о проблеме Александру Уэйду (Alexander Wade) - специалисту по кибербезопасности ConsenSys, работающей над развитием экосистемы Эфириума, а также связался со специалистом по безопасности Эфириума Скоттом Бигелоу (Scott Bigelow). Они начали искать решение проблемы, рассматривая несколько вариантов развития событий. Команда Lien Finance могла раскрыть информацию об уязвимости, однако в таком случае злоумышленники воспользовались бы этой возможностью. Возвращать монеты прежним держателям тоже было небезопасно, так как «боты-хищники» могли бы присвоить их, выполнив такие же операции, используя мемпул Эфириума «Ethereum’s Dark Forest». Мемпул представляет собой промежуточную зону, в которой скапливаются транзакции, ожидающие подтверждения майнеров, чтобы быть включенными в следующий блок. Эта зона постоянно «патрулируется ботами-хищниками», которые могли бы автоматически скопировать транзакции в мемпул, заменить их адреса на собственные и «подсунуть» дублированные операции майнерам. Поэтому прямой вывод криптоактивов из смарт-контракта Lien Finance привел бы к краже 25 000 ETH этими ботами в считанные секунды. Исследователи подключили к решению исследовательницу блокчейна Тину Чжень (Tina Zhen), а также аудиторскую компанию CertiK и майнинговый пул SparkPool. Совместными усилиями они разработали специальный API, с помощью которого майнеры могли принимать транзакции без их раскрытия в мемпуле. Кроме того, с целью «спасения» 25 000 ETH специалисты подготовили скрипт для создания четырех подписанных транзакций. Однако эти меры все же не подразумевали прямой вывод монет. В Lien Finance требовалось перевести 30 000 токенов SBT и LBT, которые доступны для выпуска в неограниченном количестве, и конвертировать их в ETH через функцию сжигания. В результате операция по спасению эфиров была выполнена успешно при сотрудничестве с майнинговым пулом, что позволило избежать отправки транзакций в мемпул и их столкновения с ботами. Транзакции были размещены в блоке самими майнерами. Команде Lien Finance оставалось лишь обменять токены SBT и LBT на ETH, используя функцию сжигания. Через некоторое время в обозревателе блокчейна Эфириума Etherscan подтвердилось успешное проведение операции. Напомним, что в мае «белые хакеры» обнаружили в криптовалютных биржах Lykke и Hubdex уязвимости, из-за которых можно было вывести цифровые активы общей стоимостью $18 млн. В 2018 году этичные хакеры получили около $900 тысяч за информацию о багах в различных криптовалютных проектах.
- 23 Сен, 06:30
Хакер получил пять лет тюрьмы за кражу данных и требования выкупа в BTC
Член известной хакерской группы The Dark Overlord получил пять лет тюремного заключения за кражу конфиденциальных данных и угрозы их разглашения в случае отказа от выплаты выкупа в BTC. Согласно судебным документам, Министерство юстиции США приговори...
- 11 Сен, 11:25
Сингапурского биткоин-брокера осудили за кражу $267 000
Брокер поручил сообщникам ограбить инвестора. Они напали на мужчину в номере отеля, избили и забрали сумку с наличными. На суде Минг Ли признался в одном из пунктов обвинения — преступном заговоре. Его приговорили к трем годам лишения свободы и 12 уд...
Cегодня
- 10:38 HSBC China открыл корпоративным клиентам доступ к цифровому юаню
- 10:30 В Узбекистане студента арестовали за продажу Notcoin
- 10:20 Base превзошел Optimism по TVL с показателем $8 млрд
- 10:00 Как распознать rug pull? Признаки и меры предосторожности
- 09:15 Кошелек Loopring потерял около $5 млн в результате взлома
- 08:56 Интеграция Chainlink CCIP позволяет осуществлять межцепочечные переводы WECO для Weset
- 08:31 В Москве внедрят оплату проезда цифровым рублем
- 08:25 FSC Южной Кореи представила правила регулирования NFT
В мире за неделю
-
10 Июн, 08:25+7 FSC Южной Кореи представила правила регулирования NFT
-
9 Июн, 21:01+4 Биткоин в 2024 году вырос на 70% благодаря притоку институционального капитала
-
9 Июн, 16:27+9 Notcoin сжигание, стейкинг и launchpad. Все твои токены сгорят? / Криптовалюты, NFT и финансы
-
7 Июн, 08:49+4 Подаренные Дурову монеты NOT выросли в 4 раза в цене
-
6 Июн, 02:30+4 ФБР предупреждает о мошенничествах с криптовалютой на фальшивых работах из дома