完全不必要的审计? – 一种新的攻击刚刚袭击了币安智能链协议。 有一次,该协议成为“审计”的主题,再次质疑他们的严谨性。
真正的囤积瞬间蒸发
6 月 24 日,托管在币安智能链上的 StableMagnet 协议成为 rugpull 的受害者。 换句话说,攻击者成功利用协议代码提取存放在那里的资金。 根据专门从事 DeFi 攻击分析的 Rekt 小组转发的信息,攻击者可能利用了映射Util 库代码中的缺陷。
“未经验证的映射Util 库不仅包含用于刷新所有对的代码,还包含用于从已批准 StableMagnet 的任何人那里虹吸代币的代码。 ”
刊物
因此,在单笔交易中,攻击者能够提取 2200 万美元。 随着他小心翼翼地用钱包清空批准该协议的用户的钱包,这笔款项已升至超过 2700 万美元。
有问题的交易 – 来源:Bscscan。
从袭击的过程来看,显然是精心准备的。 事实上,在接下来的几个小时内,资金被转移到币安,以便发送到以太坊网络。
一旦从以太坊中回收了 USDT,攻击者就急于将其转换为去中心化的 DAI 稳定币。 为了最好地掩盖其踪迹,所有资金都去中心化在几个地址上。
缺乏严肃性的审计
不幸的是,这种攻击本来可以避免很多次。
最初,Rekt 在攻击发生之前就收到了匿名互联网用户的警告。 然而,由于缺乏信息,后者无法就攻击的迫在眉睫进行沟通。
“我们无法核实这些说法,所以我们的手被绑住了。 如果我们发布了公开警告并且指控是虚假的,我们就会混淆并可能损害一个无辜的项目。 ”
刊物
其次,如果“审计”协议背后的公司 Techrate 认真履行其使命,本可以避免攻击。 事实上,Techrate 似乎审核了 GitHub 上发布的代码,而不是部署的合约。 结果,当实际使用的合约被感染时,很有可能以优异的成绩通过审计。
自攻击以来,StableMagnet 的所有社交网络都已被删除。 该网站也是如此,因为无法访问。
其他项目使用相同的未经验证的合约,并且可能容易受到 rugpull 的影响。 其中我们找到了 StableGaj,这是由年仅 13 岁的 DeFi 开发人员 Gajesh Naik 开发的协议之一。
这些对 DeFi 的反复攻击,让你脊背发凉……如果你更加保守并坚持使用旧比特币会怎样? 在参考平台上使用我们的附属链接购买你的第一个 satoshis
文章如何使用币安智能链一键赚取 2700 万美元 – 黑客对待 首次出现在 Journal du Coin 上。
内容搜集自网络,整理者:BTCover,如若侵权请联系站长,会尽快删除。