Хакер использовал устаревший контракт роялти на платформе Polygon и вывел криптовалюту на сумму около 261 200 долларов США. Компания по безопасности TenArmorAlert выявила необычную транзакцию 23 июня и отследила транзакцию, связанную с эксплуатацией уязвимости.
Блокчейн показывает, что хакер осуществил атаку, используя транзакцию в блоке Polygon 89,018,051. По данным TenArmorAlert, хакеру удалось вывести примерно 263 800 долларов, несмотря на относительно небольшую первоначальную сумму. Атака была направлена на устаревшую программу роялти, а не на фундаментальную структуру блокчейна Polygon.
Ошибка в расчёте вознаграждений позволила осуществлять изъятие сверх лимита
По данным TenArmorAlert, атака стала возможной из-за проблем в механизме расчёта вознаграждений и учёте этих вознаграждений. Компания безопасности CertiK обнаружила проблему в функции Royal1155LD.beforeLdaTransfer() в эксплуатируемом контракте.
Исследователи заявляют, что злоумышленник совершил несколько транзакций с нулевой стоимостью, манипулируя расчётом вознаграждений и данными о владении. Эта уязвимость позволяла атакующему искусственно увеличивать баланс токенов при определённых условиях.
Defimon Alerts также предоставили другое исследование от DecurityHQ. В данном случае эксперты пришли к выводу, что ошибки в расчёте роялти привели к эксплуатации уязвимости. Таким образом, некорректные данные о владении позволяли заявлять чрезмерные вознаграждения. Кроме того, атакующий использовал флеш-заём для эксплуатации этого контракта. После возврата одолженной суммы атакующий получил остальные деньги в качестве прибыли.
По-прежнему уязвимы для угроз безопасности
Эта последняя атака произошла на фоне других подобных атак на более старые версии децентрализованных финансовых проектов, а также на неактивные развёртывания смарт-контрактов. Злоумышленники недавно провели эксплуатацию некоторых старых контрактов Huma Finance и похитили примерно 101 400 долларов.
Исследователи предупреждают разработчиков о возможных опасностях хранения старых версий смарт-контрактов с доступными финансами. Чтобы снизить риск потенциальных атак, командам следует проводить аудит, обновлять, деактивировать или полностью удалять старые развёртывания. Разработчики Polygon подтвердили, что злоумышленникам не удалось поставить под угрозу безопасность основной сети блокчейна.
Важные новости криптоиндустрии:
Эксплуатация уязвимости в SecondFi привела к раскрытию ключей кошельков, поставив под угрозу более чем на 20 млн долларов активов в Cardano
