Главная
Новости
Подробнее

BlockSec определила корневую причину уязвимости Aztec как несоответствие между numRealTxs и набором транзакций

iconKuCoinFlash
Поделиться
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
AZTEC
$0,017338,58 %
AI summary iconСводка

expand icon
BlockSec выпустил новую информацию в блокчейне о уязвимости Aztec, установив, что корневая причина — несоответствие между numRealTxs и набором транзакций в RollupProcessorV3. Злоумышленники манипулировали этой уязвимостью для создания неодобренных балансов и вывода активов. Информация об уязвимости подчеркивает, что реальные депозиты размещались в более поздних слотах, в то время как numRealTxs устанавливался на меньшее значение, что обходило ключевые проверки. Контракт был обновлен 10 апреля 2024 года без внешнего аудита.

Согласно новости ME, 15 июня (UTC+8) BlockSec Phalcon опубликовал обновление анализа инцидента с уязвимостью Aztec. После глубокого расследования было установлено, что корневая причина инцидента не связана с отсутствием контроля доступа, а заключается в том, что numRealTxs в RollupProcessorV3 не была строго привязана к набору транзакций, проверенному ZK-доказательством. Конкретно: путь проверки доказательства декодирует все транзакции из encodedInnerTxData и вставляет их в Merkle-дерево руллапа, тогда как логика结算 на L1 обрабатывает только первые numRealTxs декодированных слотов. Злоумышленник воспользовался этим несоответствием, разместив реальные депозитные транзакции в более поздних слотах и установив numRealTxs на небольшое значение, тем самым обойдя проверки, такие как decreasePendingDepositBalance(), и создав необеспеченные остатки активов, которые были успешно извлечены. В атакующей транзакции злоумышленник одновременно создал необеспеченные остатки по нескольким активам, а затем извлек их через стандартный процесс вывода. Кроме того, хотя Aztec Connect был прекращен 31 марта 2024 года, контракт RollupProcessorV3 был обновлен 10 апреля без внешнего аудита. (Источник: Foresight News)

Источник:Показать оригинал
Отказ от ответственности: Информация на этой странице может быть получена от третьих лиц и не обязательно отражает взгляды или мнения KuCoin. Данный контент предоставляется исключительно в общих информационных целях, без каких-либо заверений или гарантий, а также не может быть истолкован как финансовый или инвестиционный совет. KuCoin не несет ответственности за ошибки или упущения, а также за любые результаты, полученные в результате использования этой информации. Инвестиции в цифровые активы могут быть рискованными. Пожалуйста, тщательно оценивайте риски, связанные с продуктом, и свою устойчивость к риску, исходя из собственных финансовых обстоятельств. Для получения более подробной информации, пожалуйста, ознакомьтесь с нашими Условиями использования и Уведомлением о риске.