Η επαναλαμβανόμενη εκμετάλλευση 2,16 εκατομμυρίων δολαρίων στην Aztec εγείρει ανησυχίες για τα legacy συμβόλαια DeFi

Όλες οι ειδήσεις

Κορυφαίες Ειδήσεις

Οι Επιλογές των Συντακτών

Κρυπτονομίσματα

Οικονομικά Νέα

Νομίσματα

Οι Φωνές της Αγοράς

Ρυθμιστικές αρχές

Κεντρικές τράπεζες

Parshwa Turakhiya

πριν από 13 ώρες

Η επαναλαμβανόμενη εκμετάλλευση 2,16 εκατομμυρίων δολαρίων στην Aztec εγείρει ανησυχίες για τα legacy συμβόλαια DeFi — Η παλιά γέφυρα της Aztec έχασε 2,16 εκατομμύρια δολάρια

Η Aztec Labs επλήγη από μια δεύτερη εκμετάλλευση (exploit) σε λιγότερο από μία εβδομάδα, αφού ένας επιτιθέμενος άντλησε περίπου 2,16 εκατομμύρια δολάρια από μια παρωχημένη Private Rollup Bridge που είχε κλείσει πριν από χρόνια. Το περιστατικό δεν επηρέασε το τρέχον δίκτυο Aztec ή το διακριτικό AZTEC, αλλά ανανέωσε τον έλεγχο των παλιών έξυπνων συμβολαίων που παραμένουν ενεργά on-chain ακόμη και μετά την απόσυρση των προϊόντων.

Κορυφαία σημεία

Η παρωχημένη Private Rollup Bridge της Aztec έχασε περίπου 2,16 εκατομμύρια δολάρια.
Ο επιτιθέμενος απέσυρε ETH, DAI και renBTC από παλιά αμετάβλητα συμβόλαια.
Η Aztec δήλωσε ότι το τρέχον δίκτυο και το διακριτικό AZTEC δεν επηρεάστηκαν.

Αυτό το άρθρο μεταφράστηκε από το πρωτότυπο. Διαβάστε την αρχική έκδοση από τον ανταποκριτή μας εδώ.

Άλλη μια επίθεση σε εγκαταλελειμμένη υποδομή

Ο επιτιθέμενος στόχευσε την παλιά Private Rollup Bridge της Aztec, ένα προϊόν που κυκλοφόρησε το 2021 και έκλεισε το 2022, αναφέρει το Coinpedia. Παρόλο που η γέφυρα είχε διακοπεί, τα έξυπνα συμβόλαιά της παρέμεναν ενεργά επειδή ήταν αμετάβλητα (immutable), πράγμα που σημαίνει ότι η Aztec δεν μπορούσε να τα παύσει ή να τα αναβαθμίσει μετά την ανάπτυξη.

Ο επιτιθέμενος απέσυρε 1.158 ETH, 150.000 DAI και 0,47 renBTC, σύμφωνα με τα δεδομένα της SlowMist. Το πορτοφόλι της επίθεσης φέρεται να χρηματοδοτήθηκε με μόλις 0,134 ETH από το HitBTC πριν από την επίθεση.

Loading...

Το tweet διαγράφηκε από τον συγγραφέα.

Αλλά αποθηκεύσαμε τα πάντα 🙂.

Η επίθεση ακολούθησε μια άλλη εκμετάλλευση που ανακαλύφθηκε στις 14 Ιουνίου και αφορούσε το παρωχημένο προϊόν Aztec Connect, η οποία οδήγησε σε απώλειες που εκτιμώνται σε περισσότερα από 2,15 εκατομμύρια δολάρια. Εκείνο το προηγούμενο περιστατικό στόχευε επίσης υποδομές παλαιού τύπου και όχι το τρέχον δίκτυο Aztec.

Αδυναμία στη θυρίδα διαφυγής (escape hatch)

Οι ερευνητές της SlowMist συνέδεσαν την τελευταία εκμετάλλευση με μια αδυναμία στη λειτουργία «escape hatch» της γέφυρας, έναν μηχανισμό έκτακτης ανάληψης που έχει σχεδιαστεί για να επιτρέπει στους χρήστες να ανακτούν κεφάλαια υπό ορισμένες συνθήκες. Το πρόβλημα, σύμφωνα με την έκθεση, ήταν ότι το συμβόλαιο δεν επαλήθευε σωστά τα αιτήματα ανάληψης και εμπιστευόταν ορισμένα υποβληθέντα δεδομένα συναλλαγών χωρίς να επιβεβαιώνει ανεξάρτητα την ιδιοκτησία των κεφαλαίων.

Αυτό επέτρεψε στον επιτιθέμενο να υποβάλει μια απόδειξη που φαινόταν έγκυρη, χρησιμοποιώντας παραποιημένες πληροφορίες ανάληψης. Στη συνέχεια, το συμβόλαιο αποδέσμευσε κεφάλαια που δεν θα έπρεπε να είχε εγκρίνει. Η περίπτωση δείχνει πώς ακόμη και τα εργαλεία έκτακτης ανάγκης μπορούν να γίνουν επιφάνειες επίθεσης εάν η λογική επαλήθευσης είναι ελλιπής.

Η Aztec Labs δήλωσε ότι το επηρεαζόμενο προϊόν δεν έχει καμία σύνδεση με το τρέχον δίκτυο, τα τρέχοντα έξυπνα συμβόλαια ή το διακριτικό AZTEC ERC-20. Η εταιρεία δήλωσε επίσης ότι δεν έχει πλέον διοικητικό έλεγχο στην παλιά γέφυρα, γεγονός που περιορίζει την ικανότητά της να παρέμβει μετά την εκμετάλλευση.

Ο κώδικας παλαιού τύπου παραμένει ευθύνη για το DeFi

Τα περιστατικά της Aztec υπογραμμίζουν έναν επαναλαμβανόμενο κίνδυνο στην αποκεντρωμένη χρηματοδότηση: τα παλιά έξυπνα συμβόλαια μπορούν να παραμείνουν οικονομικά σημαντικά πολύ μετά τη διακοπή της συντήρησής τους από τις ομάδες. Εάν υπάρχουν ακόμα κεφάλαια μέσα σε αυτά τα συμβόλαια, το αμετάβλητο μπορεί να προστατεύσει τους χρήστες από αυθαίρετες αλλαγές, αλλά και να εμποδίσει τις διορθώσεις έκτακτης ανάγκης.

Για τους χρήστες, το κύριο ζήτημα δεν είναι μόνο αν ένα τρέχον πρωτόκολλο είναι ασφαλές, αλλά αν παλαιότερα προϊόντα εξακολουθούν να κατέχουν περιουσιακά στοιχεία και αν η διαδικασία τερματισμού τους ήταν πλήρης. Για τους προγραμματιστές, το μάθημα είναι σαφέστερο: η απόσυρση δεν τερματίζει τον κίνδυνο. Εάν τα συμβόλαια δεν μπορούν να αναβαθμιστούν, τα έργα χρειάζονται ισχυρότερες εκστρατείες απόσυρσης κεφαλαίων, παρακολούθηση και δημόσιες προειδοποιήσεις προτού τα συστήματα παλαιού τύπου γίνουν στόχοι.

Αναφέραμε επίσης ότι η Verus-Ethereum Bridge χάνει περισσότερα από 11 εκατομμύρια δολάρια σε εκμετάλλευση επικύρωσης.

Αυτό το υλικό μπορεί να περιέχει απόψεις τρίτων, κανένα από τα δεδομένα και τις πληροφορίες σε αυτήν την ιστοσελίδα δεν αποτελεί επενδυτική συμβουλή σύμφωνα με την Αποποίηση Ευθυνών μας. Ενώ τηρούμε αυστηρή Συντακτική Ακεραιότητα, αυτή η ανάρτηση μπορεί να περιέχει αναφορές σε προϊόντα από τους συνεργάτες μας.

Σας άρεσε αυτό το άρθρο;