close-btn

Глупая ошибка «умного контракта» позволила хакерам украсть $31 млн

Компания MonoX Finance заявляет, что уже связалась с хакером с намерением вернуть украденные средства

https://arstechnica.com/

Блокчейн-стартап MonoX Finance заявил, что хакер украл $31 млн, воспользовавшись ошибкой в ​​программном обеспечении, которое сервис использует для составления смарт-контрактов.

Компания использует децентрализованный финансовый протокол, известный как MonoX, который позволяет пользователям торговать токенами цифровой валюты без некоторых требований традиционных бирж. 

«Владельцы проектов могут размещать свои токены без бремени требований к капиталу и сосредоточиться на использовании средств для создания проекта, а не на обеспечении ликвидности», — говорят представители компании MonoX. — «Протокол работает, группируя депонированные токены в виртуальную пару с помощью vCASH, чтобы предложить единый пул токенов»

Ошибка учета, встроенная в программное обеспечение компании, позволила злоумышленнику взвинтить цену токена MONO и затем использовать его для обналичивания всех других депонированных токенов. Улов составил $31 млн в токенах на блокчейнах Ethereum или Polygon, оба из которых поддерживаются протоколом MonoX.

В частности были похищены:

  • 3,9 тыс. токенов Ethereum «в оболочке» (WETH) на $18,2 млн;
  • 5,7 млн Polygon (MATIC) на $10,5 млн;
  • 36,1 «обернутого» Bitcoin (WBTC) на $2 млн;
  • 1,2 тыс. Chainlink (LINK) на $31 тыс.;
  • 3,1 тыс. Aavegotchi (GHST) на $9,1 тыс.;
  • 5,1 млн Duck DAO (DUCK) на $257 тыс.;
  • 4,1 тыс. Magic Internet Money (MIM) на $4,1 тыс.;
  • 274 Immutable X (IMX) на $2 тыс.

Кроме того, по данным специалистов, были украдены 43,4 тыс. внутренних токенов проекта MonoX (MONO) на $240 тыс., 8,2 млн USD Coin ($8,2 млн) и 9,1 млн Tether ($9,1 млн). А чтобы повысить конфиденциальность операций, хакер использовал протокол Tornado Cash.

Во взломе использовался тот же токен, что и в tokenIn и tokenOut, которые являются методами обмена одного токена на другой. MonoX обновляет цены после каждого свопа, вычисляя новую стоимость для обоих токенов. Когда своп завершен, цена tokenIn, то есть токена, отправленного пользователем, уменьшается, а цена tokenOut — или токена, полученного пользователем, — увеличивается.

Используя один и тот же токен как для tokenIn, так и для tokenOut, хакер значительно взвинтил цену токена MONO, потому что обновление tokenOut перезаписало обновление цены tokenIn. Затем хакер обменял MONO на другие криптовалюты на блокчейнах Ethereum и Polygon.

Нет практических причин для обмена токена на тот же токен, и поэтому программное обеспечение, которое проводит торги, никогда не должно было разрешать такие транзакции. Отметим, что MonoX прошел три аудита безопасности в этом году.

СПРАВКА PAYSPACE MAGAZINE 

Как минимум девять крупных организаций подверглись очередному хакерскому нападению, сообщает издание CNN. Компьютерные сети были взломаны неустановленными лицами. Пострадавшие предприятия имеют отношение к ключевым промышленным и инфраструктурным коммуникациям США и некоторых других стран.

ЧИТАЙТЕ ТАКЖЕ: Нью-йоркскому криптотрейдеру грозит 10 лет за схему Понци стоимостью $5 млн

По материалам сайта arstechnica.com

google news