aBNBc постраждав від атаки хакера, недбалість під час оновлення контракту призвела до незаконного випуску великої кількості токенів

2 грудня лабораторія виявила через дані у блокчейні, що проект aBNBc зазнав хакерського нападу, що призвело до незаконної емісії великої кількості токенів aBNBc. Хакер обміняв частину емісійних токенів на BNB на DEX, а іншу частину зберіг у гаманці. Крім того, зловмисник використав ці незаконно випущені токени для позикового кредитування, завдавши збитків кредитній платформі. Ця подія призвела до серйозного браку ліквідності токена aBNBc та значного падіння його ціни.

Аналізуючи декілька транзакційних даних, дослідники виявили, що хоча адреси викликів різні, усі вони призвели до збільшення випуску токенів. Подальше розслідування показало, що проект зазнав атаки після оновлення контракту, а в оновленій логіці контракту функція збільшення випуску не мала необхідних перевірок прав.

Хакер через проксі-контракт викликав певну функцію в логічному контракті, оскільки ця функція не проводила перевірку прав доступу, тому вдалося успішно реалізувати незаконне збільшення випуску токена aBNBc.

Після атаки розробники проєкту негайно оновили логічний контракт, додавши механізм перевірки прав доступу до функції збільшення випуску.

Що стосується руху коштів, хакер вже обміняв частину випущеного aBNBc на BNB та переніс, але велика кількість aBNBc все ще залишалася в його гаманці.

В цілому, ця атака була викликана недбалістю під час процесу оновлення контракту, а саме, у новому логічному контракті функція емісії монет не містила необхідних перевірок прав. Наразі неясно, чи це сталося через використання коду контракту, що не пройшов безпечну перевірку та тестування, чи через витік приватного ключа, що дозволив хакерам самостійно оновити контракт. У будь-якому разі, цей інцидент ще раз підкреслює важливість належного зберігання приватних ключів гаманця та мнемонічних фраз, а також необхідність проведення всебічного тестування безпеки під час оновлення контракту.