block-chain24.com
Хакеру удалось вывести более $6 млн из протокола децентрализованного финансирования (DeFi) Delta Prime, выпустив произвольно большое количество токенов депозитных расписок.
По данным обозревателя блоков Arbiscan, злоумышленник выпустил более 115 дуовигинтиллионов токенов Delta Prime USD (DPUSDC) в ходе первоначальной атаки, что составляет более 1,1*10^69 в научной нотации.
DPUSDC — это депозитная расписка для стейблкоина USDC, хранящегося в Delta Prime. Он предназначен для выкупа в соотношении 1:1 за USDC.
Несмотря на то, что злоумышленник выпустил такое большое количество депозитных расписок USDC, он сжег только 2,4 миллиона из них, получив взамен стейблкоины USDC на сумму 2,4 миллиона долларов.
Злоумышленник выпустил очень большое количество токенов DPUSDC и погасил некоторые из них. Источник: Arbiscan.
Затем злоумышленник повторил эти шаги для других токенов депозитных расписок, выпустив более 1 дуовгинтиллиона Delta Prime Wrapped Bitcoin (DPBTCb), 115 октадециллионов Delta Prime Wrapped Ether (DPWETH), 115 октадециллионов Delta Prime Arbitrum (DPARB) и множество других токенов депозитных расписок, в конечном итоге погасив лишь малую часть отчеканенной суммы, получив более 1 миллиона долларов в Bitcoin (BTC), Ethereum (ETH), Arbitrum (ARB) и других токенах.
По словам специалиста по безопасности блокчейнов Чаофана Шоу, злоумышленник уже украл около 6 миллионов долларов.
Источник: Чаофань Шу.
Злоумышленник смог отчеканить эти токены депозитных расписок, сначала получив контроль над учетной записью администратора, заканчивающейся на b1afb, что он, вероятно, сделал, украв закрытый ключ разработчика. Используя эту учетную запись, он вызвал функцию «обновления» в каждом из контрактов пула ликвидности протокола.
Эти функции предназначены для использования при обновлении программного обеспечения. Они позволяют разработчику изменять код в контракте, указывая его прокси-адрес на другой адрес реализации.
Однако злоумышленник использовал эти функции, чтобы указать каждому прокси-серверу на вредоносный контракт, созданный злоумышленником. Каждый вредоносный контракт позволял злоумышленнику отчеканить произвольно большое количество депозитных расписок, фактически позволяя им слить каждый пул средств.
Злоумышленник Delta Prime обновляет контракты. Источник: Arbiscan.
Delta Prime признала атаку в сообщении на X, заявив, что «В 6:14 утра по центральноевропейскому времени DeltaPrime Blue (Arbitrum) был атакован и слит на 5,98 млн долларов».
В нем утверждалось, что версия DeltaPrime Blue на блокчейне Avalanche (AVAX) не уязвима для атаки. Также было заявлено, что страховка протокола «покроет любые потенциальные потери, где это возможно/необходимо».
Атака Delta Prime иллюстрирует риск протоколов DeFi, использующих обновляемые контракты.
Экосистема Web3 разработана для предотвращения взлома закрытых ключей с целью эксплоита целых протоколов.
Теоретически злоумышленнику необходимо украсть закрытые ключи каждого пользователя, чтобы опустошить весь протокол. Однако, когда контракты обновляются, это вносит элемент риска централизации, который может привести к потере средств всей пользовательской базой.
Тем не менее, некоторые протоколы считают, что отказ от возможности обновления может быть хуже альтернативы, поскольку это может помешать разработчику исправить ошибки, обнаруженные после развертывания. Разработчики Web3 продолжают спорить о том, когда протоколы должны и не должны разрешать обновления.
Эксплоиты смарт-контрактов продолжают представлять риск для пользователей Web3. 11 сентября злоумышленник вывел более 1,4 млн долларов из пула ликвидности токенов CUT, используя неясную строку кода, которая указывала на непроверенную функцию в отдельном контракте.
3 сентября более 27 млн долларов было выведено из протокола Penpie после того, как злоумышленник успешно зарегистрировал свой собственный вредоносный контракт в качестве рынка токенов.