Dolomite Crypto Exchange erleidet einen Verlust von 1,8 Mio. $ aufgrund einer Sicherheitsverletzung: CertiK-Bericht
Summary:
Ein alter Vertrag der Kryptobörse Dolomite wurde ausgenutzt, was zu einem Verlust von etwa 1,8 Millionen US-Dollar führte. Der Bericht über die Sicherheitsverletzung wurde von der Blockchain-Sicherheitsplattform CertiK veröffentlicht. Betroffen waren Benutzer, die autorisierte Genehmigungen für den ursprünglichen Vertrag hatten. Das Entwicklungsteam von Dolomite hat empfohlen, die Vertragsgenehmigungen zu widerrufen und den fehlerhaften Vertrag zu deaktivieren. Der Angreifer nutzte eine Funktion aus, umging den Wächter und entzog den Nutzern Gelder. Gestohlene Gelder wurden an eine andere Adresse überwiesen und dann auf Tornado Cash eingezahlt.
Die Blockchain-Sicherheitsplattform CertiK veröffentlichte am 20. März einen Bericht, in dem auf eine Sicherheitslücke hingewiesen wurde, die zum Verlust von rund 1,8 Millionen US-Dollar bei der Kryptobörse Dolomite führte. Dieser Verstoß betraf die Kunden, die dem ursprünglichen Vertrag zugestimmt hatten. Das Dolomite-Entwicklungsteam hat vorgeschlagen, die Vertragsgenehmigungen für die Ethereum-Dolomite-Adresse, beginnend mit 0xe2466, zu widerrufen. Nutzer, die mit der aktuellen Arbitrum-Version handeln, bleiben davon Berichten zufolge unberührt. Das Entwicklerteam hat den fraglichen Vertrag deaktiviert, um die Benutzer zu schützen, die diesem Ansturm nicht zum Opfer gefallen sind. Dennoch betonen sie die Notwendigkeit, dass die Nutzer ihre Genehmigungen aus diesem Vertrag zurückziehen.
Der Bericht von CertiK erläutert die Art und Weise des Angriffs, bei der der Täter eine Funktion namens "callFunction" ausnutzte, die es jedem Benutzer ermöglichte, beliebige Anrufe zu tätigen. Normalerweise schützt ein "noEntry"-Modifikator diese Funktion vor Reentrancy-Angriffen, aber der Angreifer hat es geschafft, ihn mit dem TradeManager-Vertrag bei 0xe2466 zu umgehen. Dieser Vertrag enthält eine "Call"-Funktion, die nicht mit einem Reentrancy-Guard gesichert ist, und der Angreifer hat diese Schwachstelle effizient genutzt, wie von CertiK vorgeschlagen.
Der Täter mischte die gestohlenen Gelder, um 0x5eAA7DadA44d59549A6c58008b2bd3C7F81d2502 zu adressieren, bevor er sie in Tornado-Bargeld einzahlte, so die Ergebnisse von CertiK.
Im vergangenen Monat kam es zu einer Reihe solcher Ausbeutungen. Das Unizen-Protokoll auf Ethereum hat am 11. März aufgrund eines Approval-Exploits über 2,1 Millionen US-Dollar eingenommen, woraufhin das Entwicklerteam versprach, die Nutzer so schnell wie möglich zu entschädigen. Darüber hinaus führte die Kompromittierung des privaten Schlüssels am 15. März zu einem Verlust von mehr als 2,4 Millionen US-Dollar.
Published At
3/21/2024 12:13:25 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.