Биржа Bancor сломала сама себя, чтобы спасти средства пользователей от критической уязвимости
Децентрализованная биржа Bancor выпустила смарт-контракт с критической уязвимостью, и приняла решение сломать себя, чтобы защитить средства пользователей от плохих игроков.
Как пишет Cointelegraph, последняя версия децентрализованной биржи Bancor содержит уязвимость из очень серьезных багов, которые могут привести к значительным потерям пользователей.
Согласно твитту, опубликованному Bancor 18 июня, уязвимость влияет на последнюю версию смарт-контракта BancorNetwork, которая была запущена 16 июня.
Пользователям, которые торговали на Bancor и дали согласие на отзыв своего смарт-контракта, рекомендуется отозвать его через специализированный сайт, approved.zone.
Команда объяснила, что обнаружив уязвимость, они "напали на контракт как белые хакеры", и перенесли средства оказавшиеся под угрозой в безопасное место. Вероятно, команда использовала вышеупомянутую уязвимость для этого. Это означает, что и потенциальный злоумышленник мог потратить значительную часть средств пользователей.
Гекс Капитал (Hex Capital) написал, что проблема возникла из-за возможности вызвать безопасный трансфер "safeTransferFrom" без соответствующего разрешения. Эта функция является одним из ключевых элементов договора ERC-20, поскольку позволяет смарт-контракту снять определенную надбавку, не требуя вмешательства пользователя.
Гекс Капитал предполагает, что команда спасая средства "опоздала во многих моментах". Однако, согласно расследованием команды 1inch.exchange, в этом виноваты фронт-ранеры.
Фронт-ранеры "воруют" часть денег
Команда 1inch.exchange нашла не менее двух неизвестных пользователей, которые начали копировать транзакции команды Bancor, как только они начались. Файловые боты были созданы, чтобы воспользоваться арбитражем, и они "не смогли отличить возможность арбитража от взлома", - пишет команда.
Однако все фронт-ранеры, которые присоединились, публично указали контактную информацию, что означает, что они будут готовы вернуть деньги. Один из лидеров уже пообещал вернуть деньги. Часть, которая перешла к фронт-раннерам, значительная, хотя команда 1inch.exchange пишет:
"Команда Bancor спасла $409 656 и потратила 3,94 ETH за газ, тогда как автоматические фронт-раннеры захватили $135 229 и потратили 1,92 ETH на газ. Пользователям начислено общую сумму $544 885".
Ревизии не помогли
В ответ на инцидент некоторые члены сообщества начали расспрашивать, проводил ли Bancor аудиторские проверки новых смарт-контрактов. В анонсе новой версии 0.6 Bancor отметил, что "проводился аудит безопасности".
Хотя больше информации не было, анонимный исследователь Фрэнк Топботтом (Frank Topbottom) сообщил, что обнаружил упомянутый в отчете репозиторий GitHub, где указано, что аудит безопасности был проведен компанией Kanso Labs из Тель-Авива, там же дислоцируется большинство членов команды Bancor.
Команда Bancor сообщила, что уязвимость была обнаружена сторонним разработчиком вскоре после запуска.
Как сообщал Coinews, уязвимость десктопной версии кошелька Trinity было обнаружено после того, как хакеры получили доступ к частным ключам кошелька. Причиной нападения могли быть услуги компании MoonPay, сервиса, который позволял пользователям покупать Iota напрямую.
На Coinews мы рассказывали, что база данным 129 млн российских водителей предлагается в даркнете всего 0,3 биткоина или примерно за $2900.
Читай нас в Facebook!