Accueil
Actualités
Détails

Dango résout l'exploitation après que le white hat a rendu les fonds, les utilisateurs non affectés

iconAMBCrypto
Partager
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
USDC
$0,99970 %
This is the logo of the coin.
ETH
$2 324,61-1,12 %
AI summary iconRésumé

expand icon
Dango a résolu une exploitation récente après que l'attaquant, identifié comme un white hat, ait restitué tous les fonds suite à un accord de bug bounty. L'exploitation consistait à vider des USDC du contrat de perpetuals en raison d'une faille dans la logique du fonds de garantie. Environ 410 010 $ ont été transférés vers Ethereum, tandis que 1,49 million $ sont restés sur chaîne. Dango a suspendu ses opérations et a collaboré avec des partenaires de sécurité pour récupérer les actifs. Les fonds des utilisateurs n'ont jamais été en danger. L'équipe déploie désormais de nouvelles mesures de sécurité et s'attend à reprendre rapidement les activités. Les traders évaluant des signaux de trading sur chaîne peuvent noter le faible rapport risque-récompense de cet incident pour leurs futures évaluations.

Dango a confirmé que les fonds pris lors d'une récente exploitation ont été entièrement restitués. Cela a eu lieu après que l'attaquant ait coopéré avec l'équipe et accepté une récompense pour bug.

L'incident, révélé plus tôt dans la journée, a initialement vu un attaquant vider les garanties USDC du contrat perpétuel du protocole. Toutefois, la situation a été rapidement maîtrisée, la majorité des fonds ayant été sécurisés puis intégralement récupérés.

Bug dans la logique du fonds de garantie exploité

Selon Dango, l'exploitation provient d'une faille dans la logique de don de son fonds de garantie.

annonce

Le contrat permettait aux utilisateurs de faire des dons au fonds de garantie, mais n'a pas vérifié que le montant du don était positif. Cette omission a permis à l'attaquant de manipuler le système et d'extraire des fonds du contrat Perp.

L'équipe a déclaré que la vulnérabilité était isolée et n'affectait pas les fonctions principales de trading, telles que l'appariement des ordres, le règlement des profits et pertes ou les liquidations.

Les pertes sont limitées par les restrictions du pont

L'attaquant a pu transférer environ 410 010 $USDC vers Ethereum. Toutefois, un montant supplémentaire de 1,49 million de dollars est resté sur la chaîne au sein de Dango, grâce aux limites de taux de pont intégrées.

Cette fonctionnalité de conception a empêché l'attaquant de retirer intégralement les fonds exploités, offrant à l'équipe le temps de réagir et de lancer des efforts de récupération.

Dango a interrompu la chaîne peu après avoir détecté le problème et a commencé à coordonner avec des partenaires de sécurité, notamment l'Alliance de sécurité, ainsi qu'à notifier les principales plateformes d'échange et les émetteurs de stablecoins.

Fonds restitués car l'attaquant devient un white hat

Dans une mise à jour suivante, l'équipe a confirmé que l'attaquant avait restitué intégralement les fonds et a ensuite reçu une récompense pour bug.

Dango a décrit l'acteur comme un « white hat », reconnaissant son rôle dans l'identification de la vulnérabilité et la prévention de dommages supplémentaires.

« Tous les utilisateurs concernés seront entièrement indemnisés », a déclaré l'équipe, ajoutant que les fonds des utilisateurs n'ont jamais été en danger au-delà du contrat isolé.

Le protocole reprend avec des mesures de sécurité supplémentaires

Après la résolution du problème, Dango travaille désormais à déployer des mesures de sécurité supplémentaires pour prévenir des vulnérabilités similaires à l'avenir.

La plateforme devrait reprendre ses activités sous peu, son programme de points étant temporairement mis en attente.

Résumé final

  • Un bug dans la logique du fonds de garantie de Dango a permis à un attaquant de vider les fonds, bien que les restrictions sur la passerelle aient limité les pertes.
  • Les fonds ont été ultérieurement intégralement restitués par un white hat, laissant les utilisateurs non affectés, et le protocole se préparant à reprendre ses activités.

Source:Afficher l'original
Clause de non-responsabilité : les informations sur cette page peuvent avoir été obtenues auprès de tiers et ne reflètent pas nécessairement les points de vue ou opinions de KuCoin. Ce contenu est fourni à titre informatif uniquement, sans aucune représentation ou garantie d’aucune sorte, et ne doit pas être interprété comme un conseil en investissement. KuCoin ne sera pas responsable des erreurs ou omissions, ni des résultats résultant de l’utilisation de ces informations. Les investissements dans les actifs numériques peuvent être risqués. Veuillez évaluer soigneusement les risques d’un produit et votre tolérance au risque en fonction de votre propre situation financière. Pour plus d’informations, veuillez consulter nos conditions d’utilisation et divulgation des risques.