La plateforme d’échange de crypto-monnaies Dolomite subit une perte de 1,8 million de dollars en raison d’une faille de sécurité : rapport CertiK
Summary:
Un ancien contrat de la plateforme d’échange de crypto-monnaies Dolomite a été exploité, entraînant une perte d’environ 1,8 million de dollars. Le rapport de violation de sécurité a été publié par la plateforme de sécurité blockchain CertiK. Les utilisateurs qui avaient autorisé l’approbation du contrat initial ont été affectés. L’équipe de développement de Dolomite a recommandé de révoquer les approbations de contrat et a désactivé le contrat défectueux. L’attaquant a exploité une fonction, contourné le garde et drainé les fonds des utilisateurs. Les fonds volés ont été transférés à une autre adresse, puis déposés dans Tornado Cash.
La plateforme de sécurité blockchain CertiK a publié un rapport le 20 mars soulignant une faille de sécurité qui a entraîné la perte d’environ 1,8 million de dollars de la plateforme d’échange de cryptomonnaies Dolomite. Ce manquement avait touché les clients qui avaient donné leur approbation au contrat initial. L’équipe de développement de Dolomite a suggéré que les approbations de contrat pour l’adresse Ethereum Dolomite, commençant par 0xe2466, soient révoquées. Les utilisateurs qui négocient avec la version actuelle d’Arbitrum ne seraient pas affectés par cela. L’équipe de développement a désactivé le contrat en question dans le but de protéger les utilisateurs qui n’ont pas été victimes de cet assaut. Néanmoins, ils insistent sur la nécessité pour les utilisateurs de retirer les approbations de ce contrat.
Le rapport de CertiK élucide la manière dont l’attaque a été menée lorsque le malfaiteur a exploité une fonctionnalité appelée « callFunction » permettant à tout utilisateur de passer des appels arbitraires. Habituellement, un modificateur « noEntry » protège cette fonction de toute attaque de réentrée, mais l’attaquant a réussi à l’esquiver en utilisant le contrat TradeManager à 0xe2466. Ce contrat contient une fonction « d’appel » qui n’est pas sécurisée par une garde de réentrée, et l’attaquant a efficacement drainé les fonds des utilisateurs en utilisant ce point faible, comme le suggère CertiK.
Le délinquant a mélangé les fonds volés pour régler 0x5eAA7DadA44d59549A6c58008b2bd3C7F81d2502 avant de les déposer dans l’argent de Tornado, selon les conclusions de CertiK.
Le mois dernier a été témoin d’une série d’exploitations de ce type. Le protocole Unizen sur Ethereum a déboursé plus de 2,1 millions de dollars le 11 mars en raison d’un exploit d’approbation, à la suite duquel l’équipe de développement s’est engagée à indemniser les utilisateurs au plus tôt. De plus, la compromission d’une clé privée a conduit Mozaic Finance à une perte de plus de 2,4 millions de dollars le 15 mars.
Published At
3/21/2024 12:13:25 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.