Home
Mga Balita
Mga Detalye

Nasakop ng Arbitrum ang DAO, 54.4 bilyon ang vsdCRV na ilegally na minted

icon币界网
I-share
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
ETH
$2,019.290.27%
AI summary iconSummary

expand icon
Iraport ng Stake DAO ang isang security breach sa Arbitrum matapos makapag-exploit ang isang attacker ng isang compromised private key at manipulahin ang LayerZero v2 configuration ng vsdCRV. Nagresulta ito sa ilegal na pagminta ng halos 54.4 bilyon na vsdCRV. Nakapag-convert na ang attacker ng bahagi ng mga token sa 43.78 ETH at nilipat ang mga pondo sa Ethereum. Pinag-aaralan ng Stake DAO ang on-chain na balita at hinihikayat ang mga user na i-revoke ang kanilang permissions upang maiwasan ang karagdagang pagkawala.
Binibigkas ng CoinDesk:

Naganap ang isang security incident sa Stake DAO sa Arbitrum, kung saan sinasabing nakakuha ang attacker ng private key ng protocol deployer, binago ang LayerZero v2 endpoint configuration ng vsdCRV, at pagkatapos ay nilikha ang fake cross-chain message upang i-trigger ang malawakang anomalous minting.

Ang path ng pag-atake ay nagtuturo sa private key at cross-chain configuration

Ayon sa paglilinaw, ang problema ay nasa pag-setup ng cross-chain communication ng vsdCRV. Pagkatapos baguhin ng attacker ang peer address ng LayerZero v2 sa isang kontroladong target, nilikha niya ang isang masasamang cross-chain message na nagbigay-daan sa kontrato na mag-mint ng halos 5.44 trilyon na vsdCRV nang direkta sa kanyang wallet nang walang karagdagang limitasyon.

Hindi ito ginawa sa pamamagitan ng pagbili sa publikong merkado, kundi direktang gamit ang mga pahintulot ng protokolo at mga proseso ng pag-verify ng mensahe sa iba’t ibang chain upang lumikha ng malaking suplay ng token na hindi dapat umiral.

Ang ilang token ay na-convert at na-transfer sa Ethereum

Sinabi ng blockchain security company na Blockaid na ang mga attacker ay nagsale ng ilang mga token at nakakuha ng halos 43.78 ETH, at isinama ang mga pondo sa Ethereum mainnet. Ibig sabihin nito ay ang mga kaugnay na asset ay nagsimula nang mag-cross-chain transfer, at posibleng tumaas ang hirap sa pagsubaybay at pagpapahinga nito sa susunod.

  • Ang pag-atake ay nangyari sa network ng Arbitrum
  • Ang mga token na kasangkot ay ang vsdCRV ng Stake DAO
  • Mayroon nang ilang pondo na isinalin sa halos 43.78 ETH

Sa pananaliksik ng tim, inalalay ng mga user na tanggalin ang pahintulot

Ang koponan ng DAO ay patuloy na nag-aaral ng mga detalye ng insidente, na maaaring kumakatawan sa kung paano nalabasan ang private key, kailan naganap ang pagbabago sa konfigurasyon, at kung mayroon pa bang iba pang mga kontrato o aset na naapektuhan.

Sa panahon ng pagpapatuloy ng imbestigasyon, inabiso ang mga user na mawalan agad ng kanilang mga pahintulot upang mabawasan ang mga panganib sa hinaharap. Para sa mga DeFi protocol, agad na magkakaroon ng epekto mula sa isang kontrata patungo sa mga transaksyon ng pera at antas ng likuididad kung ang mga pahintulot o konfigurasyon ng cross-chain ay nasa kontrol.

Source:Ipakita ang original
Disclaimer: Ang information sa page na ito ay maaaring nakuha mula sa mga third party at hindi necessary na nagre-reflect sa mga pananaw o opinyon ng KuCoin. Ibinigay ang content na ito para sa mga pangkalahatang informational purpose lang, nang walang anumang representation o warranty ng anumang uri, at hindi rin ito dapat ipakahulugan bilang financial o investment advice. Hindi mananagot ang KuCoin para sa anumang error o omission, o para sa anumang outcome na magreresulta mula sa paggamit ng information na ito. Maaaring maging risky ang mga investment sa mga digital asset. Pakisuri nang maigi ang mga risk ng isang produkto at ang risk tolerance mo batay sa iyong sariling kalagayang pinansyal. Para sa higit pang information, mag-refer sa aming Terms ng Paggamit at Disclosure ng Risk.