L'exchange di criptovalute Dolomite subisce una perdita di 1,8 milioni di dollari a causa di una violazione della sicurezza: il rapporto CertiK
Summary:
È stato sfruttato un vecchio contratto dell'exchange crypto Dolomite, che ha portato a una perdita di circa 1,8 milioni di dollari. Il rapporto sulla violazione della sicurezza è stato pubblicato dalla piattaforma di sicurezza blockchain CertiK. Gli utenti che avevano approvato il contratto originale sono stati interessati. Il team di sviluppo di Dolomite ha raccomandato di revocare le approvazioni del contratto e ha disattivato il contratto difettoso. L'aggressore ha sfruttato una funzione, aggirato la guardia e drenato fondi dagli utenti. I fondi rubati sono stati trasferiti a un altro indirizzo e poi depositati in Tornado Cash.
Il 20 marzo, la piattaforma di sicurezza blockchain CertiK ha pubblicato un rapporto in cui segnala una violazione della sicurezza che ha portato alla perdita di circa 1,8 milioni di dollari dall'exchange di criptovalute Dolomite. Questa violazione aveva colpito i mecenati che avevano dato l'approvazione al contratto originale. Il team di sviluppo di Dolomite ha suggerito di revocare le approvazioni dei contratti per l'indirizzo Ethereum Dolomite, a partire da 0xe2466. Secondo quanto riferito, gli utenti che fanno trading con l'attuale versione di Arbitrum non sono interessati da questo. Il team di sviluppo ha disattivato il contratto in questione con l'obiettivo di salvaguardare quegli utenti che non sono caduti preda di questo assalto. Tuttavia, sottolineano la necessità per gli utenti di ritirare le approvazioni da questo contratto.
Il rapporto di CertiK chiarisce le modalità dell'attacco in cui il malfattore ha sfruttato una funzione chiamata "callFunction" che facilita qualsiasi utente a effettuare chiamate arbitrarie. Di solito, un modificatore "noEntry" protegge questa funzione da eventuali attacchi di reentrancy, ma l'attaccante è riuscito a schivarlo utilizzando il contratto TradeManager a 0xe2466. Questo contratto ospita una funzione di "chiamata" che non è protetta da una guardia di rientro, e l'aggressore ha prosciugato in modo efficiente i fondi degli utenti utilizzando questo punto debole, come suggerito da CertiK.
L'autore del reato ha mescolato i fondi rubati per indirizzare 0x5eAA7DadA44d59549A6c58008b2bd3C7F81d2502 prima di depositarli in contanti Tornado, secondo i risultati di CertiK.
Il mese scorso si è assistito a una serie di tali sfruttamenti. L'11 marzo, il protocollo Unizen su Ethereum ha sborsato oltre 2,1 milioni di dollari a causa di un exploit di approvazione, a seguito del quale il team di sviluppo si è impegnato a risarcire gli utenti al più presto. Inoltre, la compromissione della chiave privata ha portato Mozaic Finance a una perdita superiore a 2,4 milioni di dollari il 15 marzo.
Published At
3/21/2024 12:13:25 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.