- Topik
91417 Popularitas
43910 Popularitas
14831 Popularitas
3773 Popularitas
4499 Popularitas
28695 Popularitas
15744 Popularitas
22390 Popularitas
12941 Popularitas
2299 Popularitas
- Sematkan
91417 Popularitas
43910 Popularitas
14831 Popularitas
3773 Popularitas
4499 Popularitas
28695 Popularitas
15744 Popularitas
22390 Popularitas
12941 Popularitas
2299 Popularitas
aBNBc diserang Hacker, kelalaian dalam upgrade kontrak menyebabkan banyak Token diterbitkan secara ilegal
Pada 2 Desember, sebuah laboratorium melalui pemantauan data on-chain menemukan bahwa proyek aBNBc mengalami peretasan, yang mengakibatkan banyak Token aBNBc diproduksi secara ilegal. Hacker menukarkan sebagian dari Token yang diproduksi secara ilegal di DEX menjadi BNB, sementara sebagian lainnya disimpan di Dompet. Selain itu, penyerang juga memanfaatkan Token yang diproduksi secara ilegal ini untuk pinjaman berbasis jaminan, yang menyebabkan kerugian bagi platform pinjaman. Peristiwa ini menyebabkan likuiditas Token aBNBc sangat tidak mencukupi, dengan harga turun drastis.
Dengan menganalisis data transaksi yang banyak, peneliti menemukan bahwa meskipun alamat yang dipanggil berbeda, semuanya menyebabkan peningkatan penerbitan Token. Penyelidikan lebih lanjut menunjukkan bahwa proyek tersebut telah melakukan peningkatan kontrak sebelum diserang, dan fungsi peningkatan penerbitan dalam kontrak logika yang diperbarui tidak memiliki pemeriksaan hak yang diperlukan.
Hacker menggunakan kontrak perantara untuk memanggil fungsi tertentu dalam kontrak logika, karena fungsi tersebut tidak melakukan verifikasi izin, sehingga berhasil melakukan penerbitan ilegal koin aBNBc.
Setelah diserang, pihak proyek segera memperbarui kontrak logika, dan pada versi baru menambahkan mekanisme pemeriksaan izin untuk fungsi penerbitan.
Dalam hal aliran dana, hacker telah menukar sebagian aBNBc yang diterbitkan kembali menjadi BNB dan mentransfernya, tetapi sejumlah besar aBNBc masih terjebak di dompetnya.
Secara keseluruhan, serangan ini terutama disebabkan oleh kelalaian dalam proses peningkatan kontrak, yaitu fungsi penerbitan baru dalam kontrak logika yang tidak memiliki pengujian izin yang diperlukan. Saat ini belum jelas apakah ini disebabkan oleh penggunaan kode kontrak yang belum diaudit dan diuji secara aman, atau karena kebocoran kunci pribadi yang memungkinkan Hacker untuk meningkatkan kontrak secara mandiri. Bagaimanapun, peristiwa ini sekali lagi menekankan pentingnya menjaga kunci pribadi Dompet dan frase pemulihan dengan baik, serta perlunya melakukan pengujian keamanan yang menyeluruh saat melakukan peningkatan kontrak.