1. 🚨 BREAKING: @SuperRare зазнає експлойту на Ethereum на $730 тис
Зловмисник скористався вразливістю перевірки дозволів для успішної передачі активів, що призвело до збитків у розмірі приблизно 730 тисяч доларів США.
🛡️ Рекомендовані дії:
➡️ Для проектів
- Впроваджуйте контекстно-залежну перевірку дозволів
- Ретельне модульне тестування логіки ACL
- Аудит критичних функцій, що змінюють стан
➡️Для користувачів:
- Слідкуйте за оновленнями @SuperRare
- Обмежити взаємодію з контрактом до підтвердження виправлення
2/ 🧯 Аналіз вразливостей
Неправильна перевірка дозволів у функції updateMerkleRoot:
→ Дозволено будь-якій адресі, крім власника/0xc2F394, змінювати currentClaimRoot.
3. ⚡ Нападник зробив:
- Оновлений MerkleRoot
- Так званий метод претензії
- Обхід перевірки за допомогою шкідливого root
- Списані токени на адресу отримання
4/ ⚔️Адреса зловмисника: 0x5b9b4b4dafbcfceea7afba56958fcbb37d82d4a2
📝Контракт на атаку: 0x2073111e6ebb6826f7e9c6192c6304aa5af5e340
🚩Експлуатований контракт: 0x3f4d749675b3e48bccd932033808a7079328eb48
📂Атака Тх:
📦Адреса отримання активів: 0x08947cedf35f9669012bda6fda9d03c399b017ab
5,96 тис.
17
Вміст на цій сторінці надається третіми сторонами. Якщо не вказано інше, OKX не є автором цитованих статей і не претендує на авторські права на матеріали. Вміст надається виключно з інформаційною метою і не відображає поглядів OKX. Він не є схваленням жодних дій і не має розглядатися як інвестиційна порада або заохочення купувати чи продавати цифрові активи. Короткий виклад вмісту чи інша інформація, створена генеративним ШІ, можуть бути неточними або суперечливими. Прочитайте статтю за посиланням, щоб дізнатися більше. OKX не несе відповідальності за вміст, розміщений на сторонніх сайтах. Утримування цифрових активів, зокрема стейблкоїнів і NFT, пов’язане з високим ризиком, а вартість таких активів може сильно коливатися. Перш ніж торгувати цифровими активами або утримувати їх, ретельно оцініть свій фінансовий стан.