Dangoは、最近の不正アクセスで奪われた資金が完全に返金されたことを確認しました。これは、攻撃者がチームと協力し、バグバウンティを受け入れた後のことです。
本日早朝に明らかにされたこの事件では、攻撃者がプロトコルのパーペチュアル契約からUSDCのコラテラルを不正に引き出しましたが、状況は迅速に収束し、大部分の資金が確保され、後に全額回復されました。
保険基金のロジックにバグが存在し、悪用された
Dangoによると、この不正は保険基金の寄付ロジックに存在する欠陥が原因だった。
この契約はユーザーが保険基金に寄付できるようにしていましたが、寄付数量が正であることを確認しなかったため、攻撃者がシステムを操作し、無期限契約から資金を引き出すことが可能になりました。
チームは、この脆弱性は孤立しており、注文マッチングや損益決済、清算などのコアな取引機能には影響しなかったと述べました。
損失はブリッジの制限によって制限されます
攻撃者は約410,010米ドルのUSDCをEthereumにブリッジすることに成功しました。しかし、組み込まれたブリッジレート制限により、追加で149万米ドルがDango内にチェーン上に残りました。
この設計機能により、攻撃者は悪用された資金を完全に引き出すことができず、チームは対応し、回復作業を開始する時間を得ました。
Dangoは問題を検知した直後にチェーンの処理を一時停止し、セキュリティアライアンスを含むセキュリティパートナーと連携を開始し、主要な取引所およびステーブルコイン発行者に通知しました。
攻撃者がホワイトハットに転身し、資金が返還されました
フォローアップの更新で、チームは攻撃者が資金を全額返還し、その後バグバウンティが授与されたことを確認しました。
ダンゴは、そのアクターを「ホワイトハット」と表現し、脆弱性を特定し、さらなる被害を防ぐ役割を果たしたことを称賛した。
「影響を受けたすべてのユーザーは補填されます」とチームは述べ、ユーザーの資金は孤立した契約を超えてリスクにさらされることなかったと追加しました。
プロトコルが追加のセーフガードを備えて再開
問題が解決したため、Dangoは今後同様の脆弱性が発生しないよう、追加のセーフガードを導入しています。
プラットフォームはまもなく運用を再開する予定であり、ポイントプログラムは一時的に延期されます。
最終サマリー
- Dangoの保険基金のロジックにバグがあり、攻撃者が資金を引き出しましたが、ブリッジの制限により損失は限定されました。
- 資金は後にホワイトハットによって完全に返還され、ユーザーには影響がなく、プロトコルは運用再開の準備を進めています。