- Tópico
87k Popularidade
40k Popularidade
14k Popularidade
4k Popularidade
5k Popularidade
29k Popularidade
16k Popularidade
22k Popularidade
13k Popularidade
3k Popularidade
- Pino
87k Popularidade
40k Popularidade
14k Popularidade
4k Popularidade
5k Popularidade
29k Popularidade
16k Popularidade
22k Popularidade
13k Popularidade
3k Popularidade
aBNBc foi atacado por hackers, uma falha na atualização do contrato resultou na emissão ilegal de uma grande quantidade de tokens.
No dia 2 de dezembro, um laboratório detectou através de dados na cadeia que o projeto aBNBc sofreu uma invasão de hackers, resultando na emissão ilegal de uma grande quantidade de tokens aBNBc. Os hackers trocaram parte dos tokens emitidos ilegalmente por BNB em uma DEX, enquanto outra parte foi mantida na carteira. Além disso, os atacantes também usaram esses tokens emitidos ilegalmente para empréstimos colaterais, causando perdas à plataforma de empréstimos. Este incidente resultou em uma grave falta de liquidez dos tokens aBNBc, com uma queda acentuada no preço.
Através da análise de múltiplas transações, os pesquisadores descobriram que, embora os endereços de chamada sejam diferentes, todos resultaram na emissão adicional de tokens. Investigações adicionais mostraram que o projeto havia realizado uma atualização de contrato antes de sofrer o ataque, e que a função de emissão adicional no contrato lógico atualizado carecia das verificações de permissão necessárias.
O Hacker chamou uma função específica no contrato lógico através de um contrato de proxy, e como essa função não tinha verificação de permissões, conseguiu realizar a emissão ilegal de tokens aBNBc.
Após sofrer um ataque, a equipe do projeto atualizou imediatamente o contrato lógico, adicionando um mecanismo de verificação de permissões à função de emissão adicional na nova versão.
Em termos de fluxo de资金, os hackers já trocaram parte do aBNBc emitido por BNB e transferiram, mas uma grande quantidade de aBNBc ainda permanece na sua carteira.
De um modo geral, este ataque originou-se principalmente de uma negligência durante o processo de atualização do contrato, ou seja, a função de emissão no novo contrato lógico carecia da verificação de permissões necessária. Não está claro se isso se deve ao uso de código de contrato não auditado e testado em segurança, ou se foi causado pela divulgação da chave privada que permitiu ao hacker atualizar o contrato por conta própria. De qualquer forma, este evento enfatiza mais uma vez a importância de proteger adequadamente as chaves privadas e as frases de recuperação da carteira, bem como a necessidade de realizar testes de segurança abrangentes ao atualizar contratos.