होम
न्यूज़
विवरण

स्मार्ट कॉन्ट्रैक्ट हमले में Truebit प्रोटोकॉल को 26.4 मिलियन डॉलर का नुकसान

iconPANews
साझा करें
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
TRU
$0.005561.83%
This is the logo of the coin.
ETH
$2,099.11-0.58%
AI summary iconसारांश

expand icon
ट्रूबिट प्रोटोकॉल को पांच साल पहले एक गैर-ओपन-सोर्स कॉन्ट्रैक्ट में स्मार्ट कॉन्ट्रैक्ट की कमजोरियों के लक्ष्य करने वाले एक खतरे के बाद 26.4 मिलियन डॉलर का नुकसान हुआ। हमलावरों ने TRU टोकन बनाए और 8,535.36 ईथर खाली कर दिए। बीओईसिन ने धन को तीन उच्च जोखिम वाले ईथरियम पतों तक पहुंचाया। हमला एक खराब फंक्शन को बार-बार बुलाकर न्यूनतम msg.value के साथ किया गया था। कॉन्ट्रैक्ट सुरक्षा उल्लंघन और धन प्रवाह पर एक विस्तृत रिपोर्ट जारी कर दी गई है।

लेखक: Beosin

9 जनवरी की सुबह, 5 साल पहले Truebit प्रोटोकॉल द्वारा तैनात अन-ओपन-सोर्स कॉन्ट्रैक्ट पर हमला हुआ, जिसमें 8,535.36 ETH (लगभग 26.4 मिलियन डॉलर के बराबर) का नुकसान हुआ। बीओईसिन सुरक्षा टीम ने इस सुरक्षा घटना के लिए एक खामी और धन के पीछे पड़ने का विश्लेषण किया और निम्नलिखित परिणाम साझा किए:

हमला विश्लेषण

इस घटना के विश्लेषण के लिए हमने मुख्य लेनदेन का चयन किया, लेनदेन हैश है: 0xcd4755645595094a8ab984d0db7e3b4aabde72a5c87c4f176a030629c47fb014

1. हमलावर getPurchasePrice() को कॉल करता है और मूल्य प्राप्त करता है।

2. फिर दोषपूर्ण फ़ंक्शन 0xa0296215() को कॉल करें और msg.value का मान बहुत कम रखें।

चूंकि समझौता ओपन सोर्स नहीं है, इसलिए विपक्ष द्वारा कोड के माध्यम से अनुमान लगाया गया है कि इसमें एक अंकगणितीय तर्क दोष है, जैसे पूर्णांक काटने में समस्या हो सकती है, जिसके कारण हमलावर बड़ी संख्या में TRU टोकन बनान

3. हमलावर बर्न फंक्शन का उपयोग करके मुद्रित मुद्रा को "वापस बेच देता है" और संकल्प से बड़ी मात्रा में ईथ निकाल लेता है।

इस प्रक्रिया को 4 बार दोहराया जाता है, प्रत्येक बार msg.value मान बढ़ाकर, तक कि अनुबंध में लगभग सभी ETH निकाल लिया जाता है।

चोरी के पैसों का प

ब्लॉकचेन पर लेनदेन डेटा के आधार पर, Beosin ने अपने ब्लॉकचेन लेनदेन जांच और ट्रैकिंग प्लेटफॉर्म BeosinTrace के माध्यम से विस्तृत धन ट्रैकिंग की है और नीचे परिणाम साझा किए गए हैं:

वर्तमान में, चोरी हुए 8,535.36 ETH के बाद अधिकांश राशि क्रमशः 0xd12f6e0fa7fbf4e3a1c7996e3f0dd26ab9031a60 और 0x273589ca3713e7becf42069f9fb3f0c164ce850a में स्थानांतरित कर दी गई है।

इनमें से पता 0xd12f में 4,267.09 ईथ, पता 0x2735 में 4,001 ईथ है। हमलावर के हमला करने वाले पता (0x6c8ec8f14be7c01672d31cfa5f2cefeab2562b50) में अभी भी 267.71 ईथ है, तीनों पतों से अब तक और धन के लेन-देन नहीं हुए हैं।

चोरी के धन के प्रवाह का विश्लेषण आरेख, Beosin Trace द्वारा

उपरोक्त पतों को Beosin KYT द्वारा उच्च जोखिम वाले पतों के रूप में चिह्नित कर दिया गया है, हम हमलावर के पते के उदाहरण के र�

बीओईएसईएन केवाईटी

निष्कर्ष

चोरी के मामले में पांच साल पहले से ओपन सोर्स नहीं किए गए स्मार्ट कॉन्ट्रैक्ट से धनराशि संबंधित है। ऐसे कॉन्ट्रैक्ट के लिए, परियोजना के विकर्ता कॉन्ट्रैक्ट के अपग्रेड करना चाहिए, ताकि आपातकालीन रोक, पैरामीटर सीमा और नए संस्करण के सॉलिडिटी सुरक्षा विशेषताओं को शामिल किया जा सके। इसके अलावा, सुरक्षा ऑडिट अभी भी कॉन्ट्रैक्ट के लिए आवश्यक है। सुरक्षा ऑडिट के माध्यम से, वेब3 कंपनियां स्मार्ट कॉन्ट्रैक्ट कोड

* बीओईएसएन इस बार के सभी धन के प्रवाह और पता जोखिम की पूरी रिपोर्ट प्रदान करेगा, आधिकारिक ईमेल support@beosin.com के माध्यम से प्राप्त करने के लिए स्वागत है।

स्रोत:मूल दिखाएं
डिस्क्लेमर: इस पेज पर दी गई जानकारी थर्ड पार्टीज़ से प्राप्त की गई हो सकती है और यह जरूरी नहीं कि KuCoin के विचारों या राय को दर्शाती हो। यह सामग्री केवल सामान्य सूचनात्मक उद्देश्यों के लिए प्रदान की गई है, किसी भी प्रकार के प्रस्तुतीकरण या वारंटी के बिना, न ही इसे वित्तीय या निवेश सलाह के रूप में माना जाएगा। KuCoin किसी भी त्रुटि या चूक के लिए या इस जानकारी के इस्तेमाल से होने वाले किसी भी नतीजे के लिए उत्तरदायी नहीं होगा। डिजिटल संपत्तियों में निवेश जोखिम भरा हो सकता है। कृपया अपनी वित्तीय परिस्थितियों के आधार पर किसी प्रोडक्ट के जोखिमों और अपनी जोखिम सहनशीलता का सावधानीपूर्वक मूल्यांकन करें। अधिक जानकारी के लिए, कृपया हमारे उपयोग के नियम और जोखिम प्रकटीकरण देखें।