התוקף פורץ את האוצר DAO של ארביטרום עבור למעלה מ-100 NFTs על ידי מינוף ניצול השוק

Attacker Hacks Arbitrum's Treasure DAO for Over 100 NFTs by Leveraging Marketplace Exploit

פלטפורמת שוק אסימונים לא ניתנת לניתוק שנבנתה על גבי ארביטרום בשם Treasure DAO נפרצה ב-3 במרץ בשעה 7:33 בבוקר (EST), על פי ניתוח שלאחר המוות שחיברה החברה הממוקדת באבטחה Certik. הדו"ח של החברה מציין כי "בתקיפה נגנבו יותר מ-100 NFTs", שכן התוקף מינף פגיעות בפונקציית "קניית פריט קונה" של השוק.

ניתוח שלאחר המוות על ידי Certik מראה את פלטפורמת המסחר של ארביטרום NFT Treasure DAO מנוצלת ליותר מ-100 NFTs

שוק ה-Arbitrum NFT Treasure DAO הותקף ביום חמישי לאחר שתוקף גילה ניצול שגרם לאובדן של "יותר מ-100 NFTs ממשתמשים תמימים". הניתוח שלאחר המוות של המתקפה נשלח ל-Bitcoin.com News מחברת אבטחת הבלוקצ'יין Certik, חברה שמנתחת, מנטרת ומעריכה חוזים חכמים, טכנולוגיית בלוקצ'יין ופרוטוקולי פיננסים מבוזרים (defi).

"Treasure DAO, פלטפורמת מסחר NFT ב-Arbitrum, נוצלה על ידי תוקף לא ידוע שניצל פגם בקוד של הפלטפורמה", פירט הניתוח של Certik. "הניצול הביא לאובדן של יותר מ-100 NFTs ממשתמשים תמימים. לאחר ניתוח ראשוני ומעקב אחר ארנקו של ההאקר בטוויטר, הוחזרו הרבה NFTs גנובים".

התוקף פורץ את האוצר DAO של ארביטרום עבור למעלה מ-100 NFTs על ידי מינוף ניצול השוק — "התוקף ניצל שגיאה בפונקציית Buyer.buyItem של השוק, שאפשרה להם להגדיר את _quantity שווה ל-0", נאמר בנתיחה שלאחר המוות של Certik. "עם כמות של 0, totalPrice הוא גם 0, שכן totalPrice = _pricePerItem * _quantity. המשמעות היא שהתוקף לא שילם דבר עבור ה-NFTs שהם 'רכשו'. מכיוון שאין דרישה ש-_quantity > 0, הפונקציה מופעלת כרגיל. ניתן לפתור באג זה על ידי דרישת ערך גדול מ-0 עבור המשתנה _quantity."

בנוסף, הניתוח של Certik של מצב Treasure DAO מציין שהאסימון המקורי של הפרוטוקול MAGIC השיל יותר מ-40% בהפסדים מול הדולר האמריקאי. גם מייסד שותף של Treasure DAO, ג'ון פאטן צייץ על האירוע לאחר שהתוקף גנב את הכספים. "שוק האוצרות מנוצל. אנא הסר את הפריטים שלך. אנחנו נכסה את העלויות של הניצול - אני באופן אישי אוותר על כל הסמולים שלי כדי לתקן את זה", אמר פאטן. המייסד המשותף של Treasure DAO הוסיף:

אני לא יכול להבין איזה תת-אנושי מכוון לשוק השקה הוגן לשוד, אבל הם לא יביסו את הקהילה.

סרטיק אומרת שניתוח מתמשך בשרשרת וביקורות טרום-פריסה יכולות לבלום ניצול עתידי של פרוטוקול בלוקצ'יין

מנתחי אבטחה של Certik אומרים שאף אחד לא יודע מי עמד מאחורי הניצול, אך הוסיפו שמשתמשים רבים "פשוט היו שמחים שה-NFT הגנובים שלהם יוחזרו". סיכום המצב של החברה לאחר המוות מסתיים בכך שהוא מוסיף שהפסדים משמעותיים יכולים לקרות רק על ידי ניצול שורת קוד אחת. החברה מאמינה בלב שלם שניטור על השרשרת של פרוטוקולי בלוקצ'יין ספציפיים וביקורות טרום-פריסה יכולים לעזור לעצור נקודות תורפה עתידיות.

"הפריצה הזו מדגישה שוב את ההשלכות של מיליון דולר שיכולות להיות לשורת קוד אחת", מסכם הדו"ח של Certik. "ביקורת יסודית לפני פריסה בשילוב עם ניתוח מתמשך בשרשרת היא הדרך הטובה ביותר עבור פרויקטי Web3 להפגין את המחויבות שלהם לאבטחה ולהבטיח ללקוחות שלהם שהכספים שלהם בטוחים."

תגיות בסיפור הזה

100 NFTs, Arbitrum, Arbitrum Chain, תוקף, אבטחת בלוקצ'יין, באג Treasure DAO, certik, ניתוח Certik, Certik לאחר המוות, Certik Security, Hack, Hacker, John Patten, MAGIC, Magic token, nft, NFT פריצה, NFT Market, NFT marketplace, NFTs, Treasure DAO, Treasure DAO באג, Treasure DAO exploit, Treasure DAO פריצת, פרויקטים של Web3

מה אתה חושב על פריצת Treasure DAO ועל דוח הנתיחה שלאחר המוות של Certik? ספר לנו מה אתה חושב על הנושא הזה בקטע ההערות למטה.

ג 'יימי רדמן

ג'יימי רדמן הוא ראש החדשות ב-Bitcoin.com News ועיתונאי טכנולוגיה פיננסית המתגורר בפלורידה. רדמן היה חבר פעיל בקהילת מטבעות הקריפטו מאז 2011. יש לו תשוקה לביטקוין, קוד קוד פתוח ויישומים מבוזרים. מאז ספטמבר 2015, רדמן כתב יותר מ-5,000 מאמרים עבור Bitcoin.com News על הפרוטוקולים המשבשים שצצים היום.