Експерти врятували DxSale від експлойта на $5,2 млн і отримали за це лише $500
- Експерти Decurity виявили вразливість у смарт-контракті DeFi-протоколу DxSale. Потенційний збиток від злому становить $5,2 млн.
- Компанія зв’язалася з адміністрацією платформи. Та не відразу повірила, що має справу з аудиторами.
- У підсумку Decurity запропонували винагороду в $500. CEO компанії зазначив, що це викликало «розчарування». Користувачів попередили про дотримання обережності під час взаємодії з платформою.
Компанія з кібербезпеки Decurity заявила про те, що виявила вразливість у протоколі DxSale із потенційною шкодою в $5,2 млн. Як винагороду платформа запропонувала $500, що в організації визнали «несподіваним розчаруванням».
«Під час перевірки ми натрапили на неперевірений смарт-контракт на BSC. Попри відсутність вихідного коду, на балансі адреси містився значний обсяг токенів LP на PancakeSwap», — зазначено у звіті.
Йдеться про цю адресу. Шляхом декомпіляції фахівці Decurity встановили, що контракт давав змогу блокувати ліквідність в окремих пулах на DxSale.
Однак у ньому виявилася вразливість. Хакер міг нескінченно розблокувати токени в контракті через відсутність відповідної перевірки.
Загалом у пулах, які взаємодіяли з адресою, налічувалося 21 600 wBNB, як зазначено у звіті. Таким чином можливий збиток унаслідок злому смарт-контракту становить $5,2 млн.
Реакція платформи
«Щойно ми все перевірили, то зв’язалися з DxSale у Telegram. Нам довго не відповідали, а потім не повірили, що ми аудитори», — зазначив CEO компанії Омар Ганієв.
У підсумку вразливість усунули, встановивши плату за блокування на рівні, який робить спробу злому недоцільною. У Decurity зазначили, що рішення неефективне, але їхню заяву не взяли до уваги.
Зрештою адміністрація платформи запропонувала аналітикам винагороду на суму в $500. Зі слів CEO Decurity, вони раді, що змогли захистити кошти користувачів, але такий підхід до усунення вразливостей і заявлена виплата викликають «розчарування».
Раніше ми описували схожий випадок. У вересні 2022 року хакер «riptide» запобіг масштабному зламу Arbitrum. За це він отримав винагороду в 400 ETH (близько $587 тисяч на той момент).
До цього адміністрація платформи пропонувала винагороду до $2 млн за виявлення критичної помилки. «Riptide» звинуватив команду Arbitrum в обмані й заявив, що саме такі випадки змушують «білих капелюхів» замислитися про відхід у нелегальний сектор.
Буде цікаво
