Ekskluzīvā intervijā vietnei crypto.news pseidonīms baltās cepures hakeris, kas pazīstams kā Trust, ir dalījies ar būtiskām detaļām par neseno uzlaušanu, kurā tika izmantota RouteProcessor2 līguma ievainojamība.

Trust spēja ietaupīt ievērojamu daudzumu lietotāju līdzekļu, veicot 10. aprīļa profilaktisku uzlaušanu Sifu rīcībā esošajiem līdzekļiem, lai atgrieztu šos līdzekļus pēc to pārvietošanas drošībā.

Diemžēl ļaunprātīgi dalībnieki varēja atdarināt uzbrukumu un izmantot ievainojamību pret citiem turētājiem.

SushiSwap skāra uzlabots uzbrukums

Trust paskaidroja, ka RouteProcessor2 līgums, kas tika izvietots tikai pirms četrām dienām, ir paredzēts, lai pārraudzītu dažāda veida marķieru SushiSwap (SUSHI) mijmaiņas darījumus. Lietotāji iepriekš apstiprina līgumu, lai iztērētu savus ERC20 marķierus, un pēc tam izsauc swap() funkciju, lai izpildītu mijmaiņas darījumu.

Tomēr līgums mijiedarbojas ar UniswapV3 pūliem nedrošā veidā, jo tas pilnībā uzticas lietotāja norādītajai “pūles” adresei.

Pārraudzība ļauj sliktam kopumam sniegt nepatiesu informāciju līgumā par pārskaitījuma avotu un summu, ļaujot jebkuram lietotājam viltot mijmaiņas darījumu un piekļūt cita lietotāja visai apstiprinātajai summai.

Jums varētu patikt arī: Lūk, kā MEV roboti vietnē SushiSwap radīja 3,3 miljonu dolāru zaudējumus

Trust norādīja, ka šī ievainojamība būtu jāatklāj jebkuram saprātīgam audita uzņēmumam, radot bažas par ražošanas kodu bāzes briedumu.

Hakeris pieminēja arī ļoti sarežģītu robotprogrammatūru klātbūtni, kas atkārtoja savu līdzekļu taupīšanas darījumu, lai tā vietā nozagtu aktīvus, uzsverot šo robotprogrammu, kas pazīstamas kā kalnraču ekstrahējamās vērtības (MEV) robotprogrammatūras, plašos resursus un iespējas.

Trust izvēlējās veikt preventīvo uzlaušanu vairāku iemeslu dēļ.

Pirmkārt, viņš pusotru stundu pirms uzlaušanas bija iesniedzis pilnu ziņojumu par ievainojamību, taču nesaņēma atbildi.

Otrkārt, viņš baidījās, ka izstrādes komanda varētu nebūt pieejama nedēļas nogalē.

Treškārt, viņi zināja, ka līgumu nevar labot, un to var tikai uzlauzt vai atsaukt lietotāju apstiprinājumus.

Visbeidzot, viņi par prioritāti noteica vienas adreses saglabāšanu, kurā atrodas lielākā daļa riskam pakļauto līdzekļu, proti, Sifu adrese. Trust arī neparedzēja MEV robotu sarežģītību šajā situācijā.

Ņemot vērā šos atklājumus, kriptovalūtu kopienai ir ļoti svarīgi pārvērtēt drošības praksi un noteikt par prioritāti rūpīgu viedo līgumu auditu, lai novērstu šādu ievainojamību izmantošanu.

Trust darbības parāda balto hakeru nozīmi ekosistēmā, strādājot, lai aizsargātu lietotāju līdzekļus un uzlabotu vispārējo drošību.

Jums varētu patikt arī: DeFi protokols Euler Finance cieš no 197 miljonu ASV dolāru uzlaušanas