Autor on selle säutsu kustutanud.
Aga me salvestasime kõik 🙂.
Korduv 2,16 miljoni dollariline Aztec’i rünnak tekitab muret pärand-DeFi lepingute pärast
Aztec Labs on saanud vähem kui nädala jooksul teise ründe osaliseks, kui ründaja tühjendas umbes 2,16 miljonit dollarit kasutuselt kõrvaldatud Private Rollup Bridge'ist, mis suleti aastaid tagasi. Juhtum ei mõjutanud praegust Aztec võrku ega AZTEC tokenit, kuid see tõi uue tähelepanu vanadele nutilepingutele, mis jäävad ahelas aktiivseks ka pärast toodete pensionile saatmist.
Tipphetked
- Aztec’i kasutuselt kõrvaldatud Private Rollup Bridge kaotas umbes 2,16 miljonit dollarit.
- Ründaja võttis vanadest muutumatutest lepingutest välja ETH, DAI ja renBTC.
- Aztec teatas, et praegune võrk ja AZTEC token ei olnud mõjutatud.
See artikkel on tõlgitud originaalist. Lugege meie korrespondendi algset versiooni siit.
Veel üks rünnak hüljatud infrastruktuuri vastu
Ründaja sihikul oli Aztec’i vana Private Rollup Bridge, toode, mis käivitati 2021. aastal ja suleti 2022. aastal, teatab Coinpedia. Kuigi silla kasutamine oli lõpetatud, jäid selle nutilepingud aktiivseks, kuna need olid muutumatud (immutable), mis tähendab, et Aztec ei saanud neid pärast juurutamist peatada ega uuendada.
SlowMist andmetel võttis ründaja välja 1158 ETH, 150 000 DAI ja 0,47 renBTC. Ründe rahakotti rahastati enne rünnakut HitBTC-st vaid 0,134 ETH-ga.
Rünnak järgnes teisele ekspluadeerimisele, mis avastati 14. juunil ja puudutas kasutuselt kõrvaldatud Aztec Connect toodet, põhjustades hinnanguliselt üle 2,15 miljoni dollari suuruse kahju. Ka see varasem juhtum oli suunatud pärandinfrastruktuurile, mitte praegusele Aztec võrgule.
Väljapääsuluugi nõrkus
SlowMist uurijad seostasid viimase ründe silla "escape hatch" (väljapääsuluugi) funktsiooni nõrkusega – see on hädaolukorra väljamaksemehhanism, mis on loodud selleks, et kasutajad saaksid teatud tingimustel vahendeid tagasi saada. Probleem seisnes aruande kohaselt selles, et leping ei kontrollinud väljamaksetaotlusi nõuetekohaselt ja usaldas osa esitatud tehinguandmeid ilma vahendite omandiõigust sõltumatult kinnitamata.
See võimaldas ründajal esitada tõendi, mis näis kehtiv, kasutades samal ajal manipuleeritud väljamakseteavet. Leping vabastas seejärel vahendid, mida ta ei oleks tohtinud heaks kiita. Juhtum näitab, kuidas isegi hädaabitööriistad võivad muutuda rünnakupinnaks, kui kontrolliloogika on puudulik.
Aztec Labs teatas, et mõjutatud tootel puudub seos praeguse võrgu, praeguste nutilepingute või AZTEC ERC-20 tokeniga. Ettevõte märkis ka, et neil puudub vana silla üle administratiivne kontroll, mis piirab nende sekkumisvõimalusi pärast rünnakut.
Pärandkood jääb DeFi riskiks
Aztec’i juhtumid rõhutavad korduvat riski detsentraliseeritud rahanduses: vanad nutilepingud võivad jääda majanduslikult asjakohaseks kaua pärast seda, kui meeskonnad on nende hooldamise lõpetanud. Kui nendes lepingutes on endiselt vahendeid, võib muutumatus kaitsta kasutajaid meelevaldsete muudatuste eest, kuid takistada ka hädaolukorra parandusi.
Kasutajate jaoks ei ole peamine küsimus ainult selles, kas praegune protokoll on turvaline, vaid ka selles, kas vanemad tooted hoiavad endiselt varasid ja kas nende sulgemisprotsess oli täielik. Arendajate jaoks on õppetund selgem: kasutuselt kõrvaldamine ei lõpeta riski. Kui lepinguid ei saa uuendada, vajavad projektid tugevamaid väljamaksekampaaniaid, seiret ja avalikke hoiatusi, enne kui pärandsüsteemid muutuvad sihtmärkideks.
Teatasime ka, et Verus-Ethereum sild kaotas valideerimisvea tõttu üle 11 miljoni dollari.
See materjal võib sisaldada kolmandate osapoolte arvamusi, kuid sellel veebilehel olevad andmed ja teave ei kujuta endast investeerimisnõuandeid vastavalt meie lahtiütlusele. Kuigi järgime ranget toimetuslikku terviklikkust, võib see postitus sisaldada viiteid meie partnerite toodetele.
Kas teile meeldis artikkel?
Viimased Krüpto uudised
Nädala parimad boonused
Peamised uudised
Top 5 ettevõtet sinu jaoks
USA
-
Afganistan
-
Albaania
-
Alžeeria
-
Angola
-
Araabia Ühendemiraadid
-
Argentina
-
Armeenia
-
Aserbaidžaan
-
Austraalia
-
Austria
-
Bahama
-
Bahrein
-
Bangladesh
-
Belgia
-
Boliivia
-
Botswana
-
Brasiilia
-
Brunei
-
Bulgaaria
-
Costa Rica
-
Côte d'Ivoire
-
Dominikaani Vabariik
-
Ecuador
-
Eesti
-
Egiptus
-
El Salvador
-
Eswatini
-
Etioopia
-
Filipiinid
-
Ghana
-
Gruusia
-
Haiti
-
Hiina
-
Hispaania
-
Holland
-
Hongkong
-
Horvaatia
-
Iirimaa
-
Iisrael
-
India
-
Indoneesia
-
Iraak
-
Iraan, Islamivabariik
-
Itaalia
-
Jaapan
-
Jamaica
-
Jeemen
-
Jordaania
-
Kambodža
-
Kamerun
-
Kanada
-
Kasahstan
-
Katar
-
Keenia
-
Kolumbia
-
Kongo
-
Kongo
-
Korea
-
Kreeka
-
Kuuba
-
Kuveit
-
Kõrgõzstan
-
Küpros
-
Laos
-
Leedu
-
Lesotho
-
Liibanon
-
Liibüa
-
Luksemburg
-
Läti
-
Lõuna-Aafrika Vabariik
-
Madagaskar
-
Malaisia
-
Malta
-
Maroko
-
Mauritius
-
Mehhiko
-
Moldova
-
Mongoolia
-
Montenegro
-
Mosambiik
-
Myanmar
-
Namiibia
-
Nepal
-
Nigeeria
-
Norra
-
Omaan
-
Paapua Uus-Guinea
-
Pakistan
-
Palestiina
-
Panama
-
Paraguay
-
Peruu
-
Poola
-
Portugal
-
Prantsusmaa
-
Puerto Rico
-
Põhja-Makedoonia
-
Rootsi
-
Rumeenia
-
Rwanda
-
Réunion
-
Saksamaa
-
Sambia
-
Saudi Araabia
-
Serbia
-
Singapur
-
Slovakkia
-
Sloveenia
-
Somaalia
-
Soome
-
Sri Lanka
-
Süüria
-
Taani
-
Tadžikistan
-
Tai
-
Taiwan
-
Tansaania
-
Trinidad ja Tobago
-
Tuneesia
-
Türgi
-
Tšehhi
-
Tšiili
-
USA
-
Uganda
-
Ukraina
-
Ungari
-
Uruguay
-
Usbekistan
-
Uus-Meremaa
-
Valgevene
-
Venezuela
-
Vietnam
-
Zimbabwe
-
Ühendkuningriik
-
Šveits
- Forex
- Crypto
Otseuudised
