星球日報訊dYdX官方發布了關於11月27日發現的“存款代理”智能合約漏洞的事後分析,包括發生了什麼、修復、漏洞賞金,以及對用戶的gas費和被盜資金的補償。文章稱,在UTC時間11月27日05:00左右,官方被告知代理智能合約存在一個重大漏洞,該合約自11月24日以來一直在處理dYdX交易所的存款。在UTC時間12點左右,dYdX團隊執行了一次白帽黑客行動,以拯救存在風險的用戶資金,總計約200萬美元。這些資金被發送到一個非託管代理合約中,只有這些資金的原始所有者可以取回。在此期間共有730個受影響的地址有allowances,其中180個在發現漏洞時直接持有存在風險的資金。截至12月8日18:00,除91個地址外,所有最初的730個地址(目前錢包中沒有可被攻擊的資金)都已撤銷其allowances。我們將繼續監控受影響的錢包,以盡最大能力確保用戶資金的安全,但仍提醒受影響的用戶撤銷授權。此外,又有53.3萬美元的資金被機器人挽回,近80%的受影響地址已從易受攻擊合約撤銷了授權。另外估計有21.1萬美元的資金被搶先交易機器人獲取。我們正在與一些機器人運營商聯繫,並努力將資金返還給它們的合法所有者。對於在此事件中受影響的用戶,官方提供的補償措施如下: 用戶gas費補償:由於這一漏洞,用戶產生了額外的gas費用來撤銷授權或取回託管資金。我們將向所有因撤銷授權產生gas費用的用戶發放0.0115 ETH,並向所有因取回託管資金產生gas費用的用戶額外發放0.0115 ETH。償還被盜資金:總共有206134.87美元和1.5 WETH被盜。我們已經全額補償了這些損失。此外對於漏洞披露,官方表示感謝並已支付50萬美元的漏洞賞金。
dark