თავდამსხმელი არღვევს Arbitrum's Treasure DAO-ს 100-ზე მეტი NFT-ისთვის Marketplace Exploit-ის გამოყენებით

Attacker Hacks Arbitrum's Treasure DAO for Over 100 NFTs by Leveraging Marketplace Exploit

არბიტრუმის თავზე აგებული ტოკენების ბაზრის შეუცვლელი პლატფორმა, სახელწოდებით Treasure DAO, გატეხეს 3 მარტს, დილის 7:33 საათზე (EST), უსაფრთხოების საკითხებზე ორიენტირებული ფირმა Certik-ის ავტორის პოსტ-მოკვდავის ანალიზის მიხედვით. კომპანიის ანგარიშში აღნიშნულია, რომ „100-ზე მეტი NFT მოიპარეს თავდასხმის დროს“, რადგან თავდამსხმელმა გამოიყენა დაუცველობა ბაზარზე „მყიდველის ყიდვის საქონლის“ ფუნქციაში.

Certik-ის მიერ სიკვდილის შემდგომი ანალიზი აჩვენებს Arbitrum NFT სავაჭრო პლატფორმის Treasure DAO ექსპლუატაციას 100-ზე მეტი NFT-ისთვის

წამყვან Arbitrum NFT ბაზარს Treasure DAO თავს დაესხნენ ხუთშაბათს მას შემდეგ, რაც თავდამსხმელმა აღმოაჩინა ექსპლოიტი, რამაც გამოიწვია "100-ზე მეტი NFT-ის დაკარგვა არასაეჭვო მომხმარებლებისგან". თავდასხმის სიკვდილის შემდგომი ანალიზი გაეგზავნა Bitcoin.com News-ს ბლოკჩეინის უსაფრთხოების ფირმა Certik-ისგან, კომპანია, რომელიც აანალიზებს, აკონტროლებს და აფასებს ჭკვიან კონტრაქტებს, ბლოკჩეინის ტექნოლოგიას და დეცენტრალიზებულ ფინანსურ პროტოკოლებს.

"Treasure DAO, NFT სავაჭრო პლატფორმა Arbitrum-ზე, გამოიყენა უცნობი თავდამსხმელი, რომელმაც ისარგებლა პლატფორმის კოდის ხარვეზით," Certik-ის ანალიზის დეტალები. „ექსპლოიტმა გამოიწვია 100-ზე მეტი NFT-ის დაკარგვა არასაეჭვო მომხმარებლებისგან. Twitter-ზე ჰაკერების საფულის გარკვეული საწყისი ანალიზისა და მიკვლევის შემდეგ, ბევრი მოპარული NFT დაბრუნდა.

თავდამსხმელი არღვევს Arbitrum's Treasure DAO-ს 100-ზე მეტი NFT-ისთვის Marketplace Exploit-ის გამოყენებით — „თავდამსხმელმა ისარგებლა ბაზრის Buyer.buyItem ფუნქციის შეცდომით, რამაც მათ საშუალება მისცა დაეყენებინათ _ რაოდენობა 0-ის ტოლი“, - ნათქვამია Certik-ის პოსტ მოკვდაში. „0-ის რაოდენობით, totalPrice ასევე არის 0, როგორც totalPrice = _pricePerItem * _quantity. ეს ნიშნავს, რომ თავდამსხმელმა არაფერი გადაიხადა მათ მიერ შეძენილ NFT-ებში. ვინაიდან არ არის მოთხოვნა, რომ _quantity > 0, ფუნქცია ნორმალურად ასრულებს. ეს ხარვეზი შეიძლება მოგვარდეს _quantity ცვლადისთვის 0-ზე მეტი მნიშვნელობის მოთხოვნით.”

გარდა ამისა, Certik-ის მიერ Treasure DAO სიტუაციის ანალიზში აღნიშნულია, რომ პროტოკოლის ძირითადი ნიშანი MAGIC დაკარგა 40%-ზე მეტი ზარალი აშშ დოლართან მიმართებაში. Treasure DAO-ს თანადამფუძნებელი ჯონ პატენიც tweeted თავდამსხმელის მიერ თანხის მოპარვის შემდეგ მომხდარი მოვლენის შესახებ. „განძის ბაზრის ექსპლუატაცია მიმდინარეობს. გთხოვთ, წაშალოთ თქვენი ნივთები. ჩვენ დავფარავთ ექსპლოიტის ხარჯებს - მე პირადად უარს ვიტყვი ყველა ჩემს სმოლს ამის შესაკეთებლად, ”- თქვა პატენმა. Treasure DAO-ს თანადამფუძნებელმა დაამატა:

მე ვერ ვხვდები, რა ქვეადამიანური მიზნად ისახავს სამართლიანი გაშვების ბაზარს ძარცვისთვის, მაგრამ ისინი ვერ დაამარცხებენ საზოგადოებას.

Certik ამბობს, რომ მიმდინარე ჯაჭვურ ანალიზს და წინასწარ განლაგების აუდიტს შეუძლია შეაჩეროს მომავალი ბლოკჩეინის პროტოკოლის ექსპლოიტები

Certik უსაფრთხოების ანალიტიკოსები ამბობენ, რომ არავინ იცის, ვინ იდგა ამ ექსპლოიტის უკან, მაგრამ დაამატეს, რომ ბევრი მომხმარებელი „უბრალოდ მოხარული იყო, რომ მათი მოპარული NFT-ები დაბრუნდნენ“. კომპანიის მიერ სიტუაციის სიკვდილის შემდგომი შეჯამება მთავრდება იმით, რომ მნიშვნელოვანი ზარალი შეიძლება მოხდეს მხოლოდ კოდის ერთი ხაზის გამოყენებით. ფირმას მთელი გულით სჯერა, რომ ბლოკჩეინის სპეციფიკური პროტოკოლების ჯაჭვური მონიტორინგი და განლაგების წინ აუდიტი შეიძლება დაეხმაროს სამომავლო დაუცველობის შეჩერებას.

„ეს ჰაკი კიდევ ერთხელ ხაზს უსვამს მილიონდოლარიან შედეგებს, რაც შეიძლება ჰქონდეს კოდის ერთ ხაზს“, - ასკვნის Certik-ის მოხსენებაში. „საფუძვლიანი წინასწარი აუდიტი, რომელიც დაწყვილებულია მიმდინარე ჯაჭვურ ანალიზთან არის საუკეთესო გზა Web3 პროექტებისთვის, რათა აჩვენონ თავიანთი ერთგულება უსაფრთხოების მიმართ და დაარწმუნონ თავიანთი მომხმარებლები, რომ მათი სახსრები უსაფრთხოა.

წარწერები ამ ამბავში

100 NFT, Arbitrum, Arbitrum Chain, თავდამსხმელი, Blockchain უსაფრთხოება, bug Treasure DAO, certik, Certik ანალიზი, Certik post mortem, Certik Security, Hack, Hacker, John Patten, MAGIC, Magic token, nft, NFT hack, NFT Market, NFT ბაზარი, NFTs, Treasure DAO, Treasure DAO bug, Treasure DAO exploit, Treasure DAO hack, Web3 პროექტები

რას ფიქრობთ Treasure DAO-ის ჰაკერზე და Certik-ის მოკვლის შემდგომ მოხსენებაზე? შეგვატყობინეთ რას ფიქრობთ ამ თემაზე ქვემოთ მოცემული კომენტარების განყოფილებაში.

ჯეიმი გამოსწორდა

ჯეიმი რედმენი არის Bitcoin.com News-ის ახალი ამბების წამყვანი და ფინანსური ტექნიკური ჟურნალისტი, რომელიც ცხოვრობს ფლორიდაში. რედმენი 2011 წლიდან არის კრიპტოვალუტის საზოგადოების აქტიური წევრი. მას აქვს გატაცება ბიტკოინით, ღია კოდით და დეცენტრალიზებული აპლიკაციებით. 2015 წლის სექტემბრიდან მოყოლებული, Redman-მა დაწერა 5,000-ზე მეტი სტატია Bitcoin.com News-ისთვის დღეს გაჩენილი დამარღვეველი პროტოკოლების შესახებ.