«Белые хакеры» предотвратили кражу 25 000 ETH из смарт-контракта Lien Finance
«Белый хакер» под псевдонимом samczsun обнаружил уязвимость в смарт-контракте Lien Finance на блокчейне Эфириума, предотвратив кражу 25 000 ETH (около $10 млн). Samczsun обнаружил уязвимость 15 сентября, занимаясь поиском багов в смарт-контрактах Эфириума. «Хакер» случайно нашел контракт протокола Lien Finance, в котором содержалось свыше 25 000 ETH. samczsun выяснил, что вывести монеты из этого смарт-контракта мог любой желающий. В нем была функция «сжигания», с помощью которой пользователи могли самостоятельно выпускать токены, не имеющие ценности, и обменивать их на эфиры, хранящиеся в смарт-контракте. Учитывая анонимность команды Lien Finance, исследователь сообщил о проблеме Александру Уэйду (Alexander Wade) - специалисту по кибербезопасности ConsenSys, работающей над развитием экосистемы Эфириума, а также связался со специалистом по безопасности Эфириума Скоттом Бигелоу (Scott Bigelow). Они начали искать решение проблемы, рассматривая несколько вариантов развития событий. Команда Lien Finance могла раскрыть информацию об уязвимости, однако в таком случае злоумышленники воспользовались бы этой возможностью. Возвращать монеты прежним держателям тоже было небезопасно, так как «боты-хищники» могли бы присвоить их, выполнив такие же операции, используя мемпул Эфириума «Ethereum’s Dark Forest». Мемпул представляет собой промежуточную зону, в которой скапливаются транзакции, ожидающие подтверждения майнеров, чтобы быть включенными в следующий блок. Эта зона постоянно «патрулируется ботами-хищниками», которые могли бы автоматически скопировать транзакции в мемпул, заменить их адреса на собственные и «подсунуть» дублированные операции майнерам. Поэтому прямой вывод криптоактивов из смарт-контракта Lien Finance привел бы к краже 25 000 ETH этими ботами в считанные секунды. Исследователи подключили к решению исследовательницу блокчейна Тину Чжень (Tina Zhen), а также аудиторскую компанию CertiK и майнинговый пул SparkPool. Совместными усилиями они разработали специальный API, с помощью которого майнеры могли принимать транзакции без их раскрытия в мемпуле. Кроме того, с целью «спасения» 25 000 ETH специалисты подготовили скрипт для создания четырех подписанных транзакций. Однако эти меры все же не подразумевали прямой вывод монет. В Lien Finance требовалось перевести 30 000 токенов SBT и LBT, которые доступны для выпуска в неограниченном количестве, и конвертировать их в ETH через функцию сжигания. В результате операция по спасению эфиров была выполнена успешно при сотрудничестве с майнинговым пулом, что позволило избежать отправки транзакций в мемпул и их столкновения с ботами. Транзакции были размещены в блоке самими майнерами. Команде Lien Finance оставалось лишь обменять токены SBT и LBT на ETH, используя функцию сжигания. Через некоторое время в обозревателе блокчейна Эфириума Etherscan подтвердилось успешное проведение операции. Напомним, что в мае «белые хакеры» обнаружили в криптовалютных биржах Lykke и Hubdex уязвимости, из-за которых можно было вывести цифровые активы общей стоимостью $18 млн. В 2018 году этичные хакеры получили около $900 тысяч за информацию о багах в различных криптовалютных проектах.
- 23 Сен, 06:30
Хакер получил пять лет тюрьмы за кражу данных и требования выкупа в BTC
Член известной хакерской группы The Dark Overlord получил пять лет тюремного заключения за кражу конфиденциальных данных и угрозы их разглашения в случае отказа от выплаты выкупа в BTC. Согласно судебным документам, Министерство юстиции США приговори...
- 11 Сен, 11:25
Сингапурского биткоин-брокера осудили за кражу $267 000
Брокер поручил сообщникам ограбить инвестора. Они напали на мужчину в номере отеля, избили и забрали сумку с наличными. На суде Минг Ли признался в одном из пунктов обвинения — преступном заговоре. Его приговорили к трем годам лишения свободы и 12 уд...
Cегодня
- 20:31 Перед дебютом ETF на Ether, Bitmex вводит плечо 200x для Ethereum
- 18:57 Почему криптовалюта не лучший способ пополнения бюджета
- 17:31 Coinbase запускает «умные кошельки» в попытке упростить процесс регистрации в криптовалютах
- 16:37 Флойд Мейвезер может быть признан мошенником
- 14:39 DMM Bitcoin привлечет $350 млн на компенсации жертвам взлома
- 12:51 Мэтт Хоуган: «На крипторынок вольются триллионы долларов — но есть одно условие»
- 12:45 В Fidelity порекомендовали направить в биткоин 1–5% капитала
- 10:19 CleanSpark добыла в первый месяц после халвинга 417 BTC на $29,5 млн
В мире за неделю
-
4 Июн, 17:01+5 Майк Новограц: «Я знаю, к какой криптовалюте будет привязан следующий ETF»
-
4 Июн, 14:15+4 Deutsche Bank и Bitpanda сотрудничают на фоне вызовов в банковской сфере криптовалют
-
4 Июн, 07:58+4 Бизнесменам на заметку: майнинг может стать новым видом экономической деятельности
-
3 Июн, 17:16+4 В мае проекты в сфере Web3 и блокчейна привлекли более $1 млрд инвестиций
-
2 Июн, 13:40+7 Британский банк Kroo решил запретить своим клиентам совершать транзакции с криптовалютой
-
1 Июн, 08:55+4 Брэд Гарлингхаус потребовал отставки председателя SEC Гэри Генслера
-
29 Май, 07:46+4 Суд приговорил экс-директора FTX Райана Саламе к 7,5 годам тюрьмы
-
26 Май, 05:48+4 После легализации Ethereum-ETF ожидается то же самое для SOL