Эксперты спасли DxSale от эксплойта на $5,2 млн и получили за это всего $500
- Эксперты Decurity обнаружили уязвимость в смарт-контракте DeFi-протокола DxSale. Потенциальный ущерб от взлома составляет $5,2 млн.
- Компания связалась с администрацией площадки. Та не сразу поверила, что имеет дело с аудиторами.
- В итоге Decurity предложили вознаграждение в $500. CEO компании отметил, что это вызвало «разочарование». Пользователей предупредили о соблюдении осторожности при взаимодействии с платформой.
Компания по кибербезопасности Decurity заявила о том, что обнаружила уязвимость в протоколе DxSale с потенциальным ущербом в $5,2 млн. В качестве вознаграждения платформа предложила $500, что в организации сочли «неожиданным разочарованием».
«Во время проверки мы наткнулись на непроверенный смарт-контракт на BSC. Несмотря на отсутствие исходного кода, на балансе адреса содержался значительный объем токенов LP на PancakeSwap», — указано в отчете.
Речь идет об этом адресе. Путем декомпиляции специалисты Decurity установили, что контракт позволял блокировать ликвидность в отдельных пулах на DxSale.
Однако в нем обнаружилась уязвимость. Хакер мог бесконечно разблокировать токены в контракте из-за отсутствия соответствующей проверки.
Всего в пулах, которые взаимодействовали с адресом, насчитывалось 21 600 wBNB, как указано в отчете. Таким образом возможный ущерб в результате взлома смарт-контракта составляет $5,2 млн.
Реакция платформы
«Как только мы все проверили, то связались с DxSale в Telegram. Нам долго не отвечали, а потом не поверили, что мы аудиторы», — отметил CEO компании Омар Ганиев.
В итоге уязвимость устранили, установив плату за блокировку на уровне, который делает попытку взлома нецелесообразной. В Decurity отметили, что решение неэффективное, но их заявление не приняли в расчет.
В конечном итоге администрация платформы предложила аналитикам вознаграждение на сумму в $500. Со слов CEO Decurity, они рады, что смогли защитить средства пользователей, но такой подход к устранению уязвимостей и заявленная выплата вызывают «разочарование».
Ранее мы описывали похожий случай. В сентябре 2022 года хакер «riptide» предотвратил масштабный взлом Arbitrum. За это он получил вознаграждение в 400 ETH (около $587 тысяч на тот момент).
До этого администрация платформы предлагала вознаграждение до $2 млн за обнаружение критической ошибки. «Riptide» обвинил команду Arbitrum в обмане и заявил, что именно такие случаи вынуждают «белых шляп» задуматься об уходе в нелегальный сектор.