Заголовок: MAPO падає на 96% після експлуатації мосту, що створює квадрильйон токенів — Map Protocol призупиняє мейннет і готується до міграції Рідний токен Map Protocol MAPO впав приблизно на 96% після того, як нападники використали вразливість у крос-чейн мості Butter Network для створення величезної кількості неавторизованих токенів. За даними блокчейн-безпечної фірми Blockaid, нападник створив близько 1 квадрильйона MAPO — приблизно 4,8 мільйона разів більше, ніж легітимна кількість у 208 мільйонів — а потім вивів близько 1 мільярда MAPO у ліквідність Uniswap, зруйнувавши ринок. Ключові факти: - Створена сума: близько 1 квадрильйона MAPO (~4,8 млн × легітимна кількість у ~208 млн) - Виведено на ринок: близько 1 мільярда MAPO у ліквідність Uniswap - Отриманий дохід: близько 52 ETH (~$180 000) від продажу - Залишок нападника: майже трильйон MAPO, що все ще може загрожувати іншим ліквідним пулам та перелікам на біржах - Вплив на ціну: MAPO впав з ~$0,003 до майже $0,0001 протягом кількох годин (~96% падіння), за даними CoinGecko - Джерело вразливості: помилка в Solidity-контракті в шарі Butter Bridge V3.1 OmniServiceProxy, а не викрадені ключі або порушення перевірки легкого клієнта Як працювала експлуатація (короткий технічний розбір) Дослідження Blockaid показує, що нападник спочатку надіслав легітимне повідомлення, підписане мультипідписом оракула, а потім розгорнув шкідливий контракт за певною адресою. Потім вони повторно надіслали крос-чейн повідомлення «повторити», в якому вміст був дещо змінений. Оскільки міст аутентифікував повтори за допомогою keccak256(abi.encodePacked(...)) у декількох полях з динамічними байтами, конкатенація створювала неоднозначні межі (abi.encodePacked не додає префікси довжини), що призвело до колізії, через яку спотворене повторне повідомлення виглядало дійсним. Міст прийняв повідомлення та виконав неавторизоване створення токенів. Blockaid підкреслює, що це був класичний вада кодування в Solidity, а не компрометація приватних ключів чи криптографічних перевірок. Реакція Map Protocol Map Protocol підтвердив, що вина лежить у реалізації Solidity-контракту, і сказав, що його легкий клієнт та мультипідпис оракула не були скомпрометовані. Команда: - Призупинила операції мейннету та розпочала процес міграції - Оголосила, що нова адреса контракту та графік знімка активу будуть опубліковані окремо - Заявила, що токени, що знаходяться у гаманцях, пов’язаних із нападником, будуть виключені з майбутніх подій конверсії та анульовані під час міграції Загальний контекст: ризики мостів залишаються високими Крос-чейн мости цього року стали постійною метою. Blockaid та інші безпекові фірми порівняли цей інцидент з недавніми та минулими невдачами, де підроблені або неправильно перевірені повідомлення дозволяли неавторизоване створення токенів або перекази — зокрема, експлуатація мосту Verus (понад $11,5 млн) та інциденти Nomad і Wormhole 2022 року. Іншими недавніми атаками на мости є експлуатація TON-TAC на $2,68 млн у травні (проект врятував майже 80% активів) та події безпеки, пов’язані з проектами THORChain, Transit Finance, TrustedVolumes, Echo Protocol, Ekubo та RetoSwap. Що робить Map Protocol Map Protocol — це омнiчейн-мережа, призначена для з’єднання bitcoin з екосистемами, такими як ethereum, BNB Chain, Tron і Solana, для забезпечення крос-чейн переказу bitcoin, стейблкоїн та токенованих активів. Цей інцидент підкреслює системний ризик, притаманний інтероперабельній інфраструктурі, де нюанси кодування повідомлень, логики повтору та перевірки можуть призвести до масштабних і швидких порушень. Що слухати далі: - Термiни мiграцiї Map Protocol та оголошення нової адреси контракту - Чи вилучать чи заблокують бiржi та постачальники лiквiдностi MAPO, що належать нападнику - Додатковi форензичнi данi вiд Blockaid чи незалежних аудиторiв щодо масштабу вразливостi та крокiв усунення Цей випадок — ще одна нагадування про те, що перевiрка крос-чейн повiдомлень та безпечна практика кодування в Solidity залишаються критичними для безпеки мостiв.
Токен Map Protocol MAPO падає на 96% після експлуатації місту, що створює 1 квадрильйон токенів
ChainGPTПоділитися
Короткий зміст
Токен MAPO Map Protocol впав на 96% після експлуатації DeFi, під час якої було виведено кошти з моста Butter Network, що дозволило нападникам створити 1 квадрильйон токенів — у 4,8 мільйона разів більше, ніж офіційна кількість. Нападник продав 1 мільярд MAPO на Uniswap і отримав 52 ETH ($180 000). Проблема полягала в контракті Butter Bridge V3.1 OmniServiceProxy, яка не пов’язана з крадіжкою ключів або невдачами криптовалют. Map Protocol призупинив діяльність на мейннеті і працює над оновленням протоколу, щоб виключити токени нападника. Цей інцидент демонструє ризики, пов’язані з технологіями мостів між блокчейнами.
Джерело:Показати оригінал
Відмова від відповідальності: Інформація на цій сторінці може бути отримана від третіх осіб і не обов'язково відображає погляди або думки KuCoin. Цей контент надається лише для загального інформування, без будь-яких запевнень або гарантій, а також не може розглядатися як фінансова або інвестиційна порада. KuCoin не несе відповідальності за будь-які помилки або упущення, а також за будь-які результати, отримані в результаті використання цієї інформації.
Інвестиції в цифрові активи можуть бути ризикованими. Будь ласка, ретельно оцініть ризики продукту та свою толерантність до ризику, виходячи з ваших власних фінансових обставин. Для отримання додаткової інформації, будь ласка, зверніться до наших Умов використання та Розкриття інформації про ризики.