Eksperci ratują DxSale przed exploitem wartym 5,2 miliona dolarów i otrzymują za to tylko 500 dolarów
- Eksperci Decurity odkryli lukę w inteligentnym kontrakcie protokołu DxSale DeFi. Potencjalne szkody spowodowane włamaniem wynoszą 5,2 miliona dolarów.
- Firma skontaktowała się z administracją platformy. Nie od razu uwierzyła, że ma do czynienia z audytorami.
- W rezultacie Decurity zaoferowano nagrodę w wysokości 500 USD. Dyrektor generalny firmy powiedział, że było to «rozczarowujące». Użytkownicy zostali ostrzeżeni, aby zachować ostrożność podczas interakcji z platformą.
Firma Decurity zajmująca się cyberbezpieczeństwem ogłosiła, że odkryła lukę w protokole DxSale o potencjalnej wartości 5,2 miliona dolarów. Platforma zaoferowała 500 dolarów jako nagrodę, co organizacja uznała za «nieoczekiwane rozczarowanie».
«Podczas inspekcji natknęliśmy się na niezweryfikowany inteligentny kontrakt na BSC. Pomimo braku kodu źródłowego, adres miał znaczną ilość tokenów LP na PancakeSwap w swoim bilansie» — czytamy w raporcie.
Mowa właśnie o tym adresie. Dzięki dekompilacji specjaliści Decurity odkryli, że kontrakt umożliwiał blokowanie płynności w oddzielnych pulach na DxSale.
Miał on jednak lukę w zabezpieczeniach. Haker mógł w nieskończoność odblokowywać tokeny w kontrakcie ze względu na brak odpowiedniej weryfikacji.
W sumie pule, które wchodziły w interakcję z adresem, zawierały 21 600 wBNB, zgodnie z raportem. W związku z tym możliwa strata z powodu włamania do inteligentnego kontraktu wynosi 5,2 miliona dolarów.
Odpowiedź platformy
«Jak tylko wszystko sprawdziliśmy, skontaktowaliśmy się z DxSale na Telegramie. Nie odpowiadali nam przez długi czas, a potem nie wierzyli, że jesteśmy audytorami» — powiedział Omar Ganiev, dyrektor generalny firmy.
W rezultacie luka została naprawiona poprzez ustawienie opłaty za blokowanie na poziomie, który sprawia, że próby włamania są nieuzasadnione. Decurity zauważyło, że rozwiązanie było nieskuteczne, ale ich oświadczenie nie zostało wzięte pod uwagę.
Ostatecznie administracja platformy zaoferowała analitykom nagrodę w wysokości 500 dolarów. Według dyrektora generalnego Decurity, są oni zadowoleni, że byli w stanie chronić fundusze użytkowników, ale takie podejście do eliminacji podatności i zapowiedziana płatność są «rozczarowujące».
Wcześniej opisywaliśmy podobny przypadek. We wrześniu 2022 r. haker «riptide» zapobiegł włamaniu na dużą skalę do Arbitrum. Otrzymał za to nagrodę w wysokości 400 ETH (wówczas około 587 tysięcy dolarów).
Wcześniej administracja platformy oferowała nagrody w wysokości do 2 milionów dolarów za wykrycie krytycznego błędu. «Riptide» oskarżył zespół Arbitrum o oszustwo i stwierdził, że takie przypadki sprawiają, że białe kapelusze myślą o przejściu do nielegalnego sektora.
To będzie interesujące
