Un hacker è riuscito a sottrarre oltre 6 milioni di dollari dal protocollo di finanza decentralizzata (DeFi) Delta Prime coniando un numero arbitrariamente elevato di token di ricevuta di deposito.

Secondo i dati forniti dall'esploratore di blocchi Arbiscan, l'attaccante ha coniato oltre 115 token Delta Prime USD (DPUSDC) da duecentoventi miliardi durante l'attacco iniziale, ovvero più di 1,1*10^69 in notazione scientifica.

DPUSDC è una ricevuta di deposito per la stablecoin USDC (USDC) detenuta presso Delta Prime. È destinata a essere riscattabile con un rapporto 1:1 per USDC.

Nonostante abbia emesso un numero così elevato di ricevute di deposito USDC, l'aggressore ne ha bruciate solo 2,4 milioni, ricevendo in cambio 2,4 milioni di dollari di stablecoin USDC.

L'attaccante conia un numero molto elevato di token DPUSDC e ne riscatta alcuni. Fonte: Arbiscan.

L'aggressore ha poi ripetuto questi passaggi per altri token di ricevuta di deposito, coniando oltre 1 duovgintillion di Delta Prime Wrapped Bitcoin (DPBTCb), 115 octodecillion di Delta Prime Wrapped Ether (DPWETH), 115 octodecillion di Delta Prime Arbitrum (DPARB) e molti altri token di ricevuta di deposito, riscattando infine una piccola frazione dell'importo coniato per ricevere oltre 1 milione di dollari in Bitcoin (BTC), Ether (ETH), Arbitrum (ARB) e altri token.

Secondo lo specialista di sicurezza blockchain Chaofan Shou, finora l'aggressore ha rubato circa 6 milioni di dollari di fondi.


Fonte: Chaofan Shu.

L'attaccante è riuscito a coniare questi token di ricevuta di deposito ottenendo prima il controllo di un account amministratore che termina con b1afb, cosa che probabilmente ha fatto rubando la chiave privata dello sviluppatore. Utilizzando questo account, ha chiamato una funzione di "aggiornamento" su ciascuno dei contratti di pool di liquidità del protocollo.

Queste funzioni sono destinate a essere utilizzate per gli aggiornamenti software. Consentono allo sviluppatore di modificare il codice in un contratto facendo in modo che il suo proxy punti a un indirizzo di implementazione diverso.

Tuttavia, l'attaccante ha utilizzato queste funzioni per indirizzare ogni proxy a un contratto dannoso che l'attaccante aveva creato. Ogni contratto dannoso ha consentito all'attaccante di coniare un numero arbitrariamente grande di ricevute di deposito, consentendogli di fatto di prosciugare ogni pool di fondi.

L'attaccante Delta Prime aggiorna i contratti. Fonte: Arbiscan.

Delta Prime ha riconosciuto l'attacco in un post X, affermando che "Alle 6:14 CET DeltaPrime Blue (Arbitrum) è stata attaccata e prosciugata per 5,98 milioni di dollari".

Ha affermato che la versione Avalanche, DeltaPrime Blue, non è vulnerabile all'attacco. Ha anche affermato che l'assicurazione del protocollo "coprirà qualsiasi potenziale perdita ove possibile/necessario".

L'attacco Delta Prime illustra il rischio dei protocolli DeFi che utilizzano contratti aggiornabili.

L'ecosistema Web3 è progettato per impedire che gli hackeraggi di chiavi private sfruttino interi protocolli.

In teoria, un aggressore dovrebbe aver bisogno di rubare le chiavi private di ogni utente per prosciugare l'intero protocollo. Tuttavia, quando i contratti sono aggiornabili, ciò introduce un elemento di rischio di centralizzazione, che può portare un'intera base di utenti a perdere i propri fondi.

Tuttavia, alcuni protocolli ritengono che rinunciare alla possibilità di effettuare l'aggiornamento possa essere peggio della sua alternativa, poiché potrebbe impedire a uno sviluppatore di correggere i bug trovati dopo la distribuzione. Gli sviluppatori Web3 continuano a dibattere su quando i protocolli dovrebbero e non dovrebbero consentire gli aggiornamenti.

Gli exploit degli smart contract continuano a rappresentare un rischio per gli utenti Web3. L'11 settembre, un aggressore ha prosciugato oltre 1,4 milioni di $ da un pool di liquidità di token CUT utilizzando un'oscura riga di codice che puntava a una funzione non verificata su un contratto separato.

Il 3 settembre, oltre 27 milioni di dollari sono stati sottratti al protocollo Penpie dopo che l'aggressore è riuscito a registrare con successo il proprio contratto dannoso come mercato di token.