Вирусний атакувач зацікавився контрактами Ekubo для обміну токенів на мережах -протокола Ekubo Про це повідомила команда проекту.
Активна безпекова ситуація на контракті Ekubo для обміну токенів на мережах EVM лише
Ліквідатори не були затронуті Starknet не постраждала.
Ми досліджували обсяг проблеми, але для безпеки відмінили всі наявні затвердження:
— Ekubo (@EkuboProtocol) Розробники підкреслили, що ніхто не постраждав.
-версія платформи також залишилася в безпеці.
Користувачам рекомендовали відкликати всі наявні затвердження та попереджали про можливий фішінґ.
За даними Blockaid, атака торкнулася кастомного допоміжного контракту Ekubo на Ethereum
Експерти оцінили попередній збиток у $1,4 млн.
🚨 Blockaid’s викрадення розпізнавальний системою виявила активну експлуатацію на кастомному допоміжному контракті на Ethereum.
Користувачі Ekubo не ризикують Лише ті користувачі, хто раніше давав затвердження на списання токенів конкретному v2-контракту, ризикують.
Причина взлому
У Blockaid зв’язали експлойт зі збігом у механізмі виклику Допоміжний контракт дозволяв зловмиснику вказувати в запиті будь-які значення: хто платить, який токен та в якому об’ємі.
Контракт не перевіряв, чи вказаний платник ініціював операцію або погодився виконувати цю роль.
При наявності старого затвердження ERC-20 атакуючий міг вказати адресу жертви як платника, ініціювати виклик через Ekubo Core та змусити контракт списати токени через функцію transferFrom
Механізм розрахунків Ekubo Core потім передавав вкрадені кошти зловмиснику.
Основник SlowMist під псевдонімом Cos уточнив, що один із користувачів давав безкінечне затвердження контракту Ekubo протягом 158 днів Атакуючий 85 разів ініціював списання по 0,2 WBTC – нарешті, з адреси вивели 17 WBTC.
Проведення атаки відбулося через наступну причину: якщо користувач раніше давав затвердження на відповідний токен, наприклад WBTC, без обмежень (158 днів тому): атакуючий міг вказувати вже затвердженого користувача як платника, у функції payCallback дозволяв контракту виконувати будь-які дії… — Cos(余弦) 😶🌫️ (@evilcos) Он-чейн-аналітик під ніком Darkfost повідомив, що атакувач відправив вкрадені кошти до Velora, обмінив їх на $404 000 у BTC, $403 000 у BCH та 239,5 ETH, а потім відправив їх у криптоміксер.
Якщо ви користуєтесь Ekubo, будьте обережним
Їхній контракт для обміну токенами був розкрадений.
Атакуючий виконав 85 операцій, кожна з яких передавала 0,2 WBTC до однієї адреси.
17 WBTC потім були відправлені до Velora та обміняні на $404K, $403K та 239,5 ETH.… — Darkfost (@Darkfost_Coc) рекорд за кількістю взлому в криптомініндустрії Аналітики DefiLlama повідомляють більше 20 інцидентів протягом місяця.
Крупнім став експлойт протоколу на $292 млн
На другому місці знаходиться інцидент з збитком у $280 млн.
https://forklog.com/exclusive/bezopasnyh-mest-v-defi-ne-ostalos-chemu-uchit-kejs-aave-i-kelp
За матеріалами ForkLog