El exchange de criptomonedas Dolomite sufre una pérdida de USD 1.8 millones debido a una brecha de seguridad: informe de CertiK
Summary:
Se explotó un antiguo contrato del exchange de criptomonedas Dolomite, lo que provocó una pérdida de aproximadamente 1,8 millones de dólares. El informe de violación de seguridad fue emitido por la plataforma de seguridad blockchain CertiK. Los usuarios que habían autorizado aprobaciones para el contrato original se vieron afectados. El equipo de desarrollo de Dolomite ha recomendado revocar las aprobaciones de contratos y ha desactivado el contrato defectuoso. El atacante aprovechó una función, eludió la guardia y drenó los fondos de los usuarios. Los fondos robados se transfirieron a otra dirección y luego se depositaron en Tornado Cash.
La plataforma de seguridad blockchain CertiK emitió un informe el 20 de marzo señalando una brecha de seguridad que provocó la pérdida de alrededor de USD 1.8 millones del exchange de criptomonedas Dolomite. Este incumplimiento había afectado a los mecenas que habían dado su aprobación al contrato original. El equipo de desarrollo de Dolomite ha sugerido que se revoquen las aprobaciones de contratos para la dirección de Ethereum Dolomite, comenzando con 0xe2466. Según se informa, los usuarios que operan con la versión actual de Arbitrum no se ven afectados por esto. El equipo de desarrollo ha desactivado el contrato en cuestión con el objetivo de salvaguardar a aquellos usuarios que no han sido víctimas de esta embestida. Aún así, enfatizan la necesidad de que los usuarios retiren las aprobaciones de este contrato.
El informe de CertiK aclara la forma en que se produjo el ataque, en el que el infractor aprovechó una función llamada "callFunction" que facilitaba a cualquier usuario realizar llamadas arbitrarias. Por lo general, un modificador "noEntry" protege esta función de cualquier ataque de reentrada, pero el atacante logró esquivarlo usando el contrato TradeManager en 0xe2466. Este contrato alberga una función de "llamada" que no está asegurada con una protección de reentrada, y el atacante drenó eficientemente los fondos de los usuarios utilizando este punto débil, como sugiere CertiK.
El delincuente barajó los fondos robados para hacer frente a 0x5eAA7DadA44d59549A6c58008b2bd3C7F81d2502 antes de depositarlos en efectivo de Tornado, según los hallazgos de CertiK.
El mes pasado fue testigo de una serie de explotaciones de este tipo. El protocolo Unizen en Ethereum se vendió más de USD 2.1 millones el 11 de marzo debido a un exploit de aprobación, tras lo cual el equipo de desarrollo se comprometió a compensar a los usuarios lo antes posible. Además, el compromiso de la clave privada llevó a Mozaic Finance a una pérdida superior a los USD 2.4 millones el 15 de marzo.
Published At
3/21/2024 12:13:25 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.