完全不必要的審計? – 一種新的攻擊剛剛襲擊了幣安智能鏈協議。有一次,該協議成為“審計”的主題,再次質疑他們的嚴謹性。
真正的囤積瞬間蒸發
6 月24 日,託管在幣安智能鏈上的StableMagnet 協議成為rugpull 的受害者。換句話說,攻擊者成功利用協議代碼提取存放在那裡的資金。根據專門從事DeFi 攻擊分析的Rekt 小組轉發的信息,攻擊者可能利用了映射Util 庫代碼中的缺陷。
“未經驗證的映射Util 庫不僅包含用於刷新所有對的代碼,還包含用於從已批准StableMagnet 的任何人那裡虹吸代幣的代碼。 ”
刊物
因此,在單筆交易中,攻擊者能夠提取2200 萬美元。隨著他小心翼翼地用錢包清空批准該協議的用戶的錢包,這筆款項已升至超過2700 萬美元。
有問題的交易– 來源:Bscscan。
從襲擊的過程來看,顯然是精心準備的。事實上,在接下來的幾個小時內,資金被轉移到幣安,以便發送到以太坊網絡。
一旦從以太坊中回收了USDT,攻擊者就急於將其轉換為去中心化的DAI 穩定幣。為了最好地掩蓋其踪跡,所有資金都去中心化在幾個地址上。
缺乏嚴肅性的審計
不幸的是,這種攻擊本來可以避免很多次。
最初,Rekt 在攻擊發生之前就收到了匿名互聯網用戶的警告。然而,由於缺乏信息,後者無法就攻擊的迫在眉睫進行溝通。
“我們無法核實這些說法,所以我們的手被綁住了。 如果我們發布了公開警告並且指控是虛假的,我們就會混淆並可能損害一個無辜的項目。 ”
刊物
其次,如果“審計”協議背後的公司Techrate 認真履行其使命,本可以避免攻擊。事實上,Techrate 似乎審核了GitHub 上發布的代碼,而不是部署的合約。結果,當實際使用的合約被感染時,很有可能以優異的成績通過審計。
自攻擊以來,StableMagnet 的所有社交網絡都已被刪除。該網站也是如此,因為無法訪問。
其他項目使用相同的未經驗證的合約,並且可能容易受到rugpull 的影響。其中我們找到了StableGaj,這是由年僅13 歲的DeFi 開發人員Gajesh Naik 開發的協議之一。
這些對DeFi 的反復攻擊,讓你脊背發涼……如果你更加保守並堅持使用舊比特幣會怎樣?在參考平台上使用我們的附屬鏈接購買你的第一個satoshis
文章如何使用幣安智能鏈一鍵賺取2700 萬美元– 黑客對待首次出現在Journal du Coin 上。
資訊來源:由0x資訊編譯自JOURNALDUCOIN。版權歸作者Renaud H.所有,未經許可,不得轉載