crypto.ru
Социальный протокол Stars Arena на базе Avalanche взломан киберпреступниками, о чем сообщили многочисленные СМИ еще позавчера. Сегодня же, 7 октября 2023 года, различные эксперты рассказали о итогах собственного расследования. Популярный репортер Колин Ву сослался на разработчиков протокола, который является аналогией платформы Friend Tech. Его создатели заявили, что в смарт-контракте существует серьезная уязвимость безопасности.
Стало также известно, что команда разработчиков активно изучает проблему. Пользователям рекомендовано не вносить свои средства. Сразу несколько ведущих компаний по безопасности блокчейнов провели собственный анализ проблемы и опубликовали данные в Твиттере. Они заверили, что продолжат заниматься изучением эксплойта.
По данным PeckShield Alert, в результате взлома Stars Arena нанесен ущерб в размере $2,9 млн. Аналитики обнародовали адрес кошелька злоумышленника и заявили, что воспользовался уязвимостью повторного входа в контрактt Stars Arena: Shares. Эксперты отметили, что эта функция позволила выпустить акции по более высокой стоимости и получить выгоду в размере примерно 274 тыс. Avalanche (AVAX).
Исследователи из Beosin подчеркнули, что «контракт протокола не является открытым исходным кодом». Они также выразили уверенность, что злоумышленнику удалось похитить криптовалютные активы благодаря уязвимости функции повторного входа.
Исследователи отметили, что «Во время вызова функции 0xe9ccf3a3 злоумышленник повторно вошел и инициировал 0x5632b2e4, установив нужную высоту блока. Затем в SellShares это значение использовалось в качестве параметра для расчета суммы AVAX для отправки. В результате вычисленная сумма была аномально большой. В конечном итоге злоумышленнику удалось получить крупную прибыль».
Исследователи SlowMist также рассказали, что криптовалюты украдены из-за нарушения безопасности в смарт-контракте и рекомендовали пользователям не депонировать средства. Они подчеркнули, что хакер перевел 266 103 AVAX на свой адрес кошелька. Позднее он отправил часть средств в протокол FixedFloat.