私鑰洩漏允許攻擊者轉移未經授權的令牌。 OKX 承認了該漏洞,並表示將賠償受害者。
據區塊鏈安全公司SlowMist 稱,價值超過40 萬美元的加密貨幣資金從去中心化交易聚合平台OKX DEX 被盜。
破解作案手法
該漏洞歸因於做市商合約管理權的妥協,允許攻擊者轉移未經用戶授權的代幣。
OKX DEX,流行的中心化交易所OKX 的產品 [OKB],結合所有整合的第三方DEX的不同交易價格,並向用戶推薦最佳交易價格。
當用戶想要發送代幣時,他們必須批准代幣Approve 合約,該合約允許接收者領取資金。之後觸發合約的claimTokens函數,完成轉帳。
然而,在12 月12 日深夜,合約經理惡作劇地改變了功能。這很可能是由於帳戶私鑰洩漏造成的。
據慢霧科技稱,新的實現超越了授權部分,使攻擊者能夠直接執行claimTokens函數。結果,攻擊者能夠清空用戶錢包中的數千美元。
慢霧標記了可疑攻擊者的地址以及黑客收益的去向地址。
OKX將對用戶進行補償
針對這些指控,OKX 承認存在該漏洞,並將其與不再使用的廢棄DEX 合約聯繫起來。不過,該公司表示,受影響的合約已被停用。
DEX 估計被駭客攻擊的金額約為37 萬美元,並向受影響的用戶保證賠償。至於其餘的用戶資產,交易所表示是安全的。
OKX表示將對廢棄的智慧合約進行安全檢查,以避免未來出現此類問題。
這項進展重申了與去中心化金融(DeFi)交易相關的安全風險以及加強監控的必要性。
該漏洞似乎並未對OKX 的原生資產OKB 造成實質損害。 AMB加密貨幣使用CoinMarketCap 的數據發現,該交易所代幣24 小時漲幅為2.9%。
資訊來源:由0x資訊編譯自AMBCRYPTO。版權所有,未經許可,不得轉載