Clipper, zdecentralizowana giełda (DEX), ujawnił, że luka w funkcji wypłaty doprowadziła do niedawnego ataku o wartości 450 000 USD.

Protokół wyjaśnił w oświadczeniu z 1 grudnia na X, że w przeciwieństwie do wcześniejszych twierdzeń osób trzecich, atak nie był spowodowany wyciekiem klucza prywatnego, lecz wadą projektową w procesie wypłat.

Atak wymierzony w dwie pule płynności

Naruszenie, które miało miejsce 1 grudnia, wpłynęło na dwa z puli płynności Clipper, co stanowi 6% całkowitej wartości zablokowanej (TVL) giełdy. Clipper zapewnił użytkowników, że żadne inne pule nie zostały dotknięte i że luka została rozwiązana.

„Pojawiły się twierdzenia osób trzecich sugerujące wyciek klucza prywatnego”, stwierdził Clipper. „Możemy potwierdzić, że tak nie jest i jest to niezgodne z projektem oraz architekturą bezpieczeństwa Clipper.”

Luka była związana z możliwością wypłaty środków w postaci pojedynczego tokena, opisanego jako „połączona transakcja wymiany + wpłaty/wypłaty”. Ta funkcja została od tego czasu wyłączona jako środek ostrożności.

Incydent wyszedł na jaw po tym, jak Chaofan Shou, współzałożyciel firmy zabezpieczeń Fuzzland, zasugerował na X, że atak mógł być wynikiem luki w API, umożliwiającej napastnikom fałszowanie podpisów żądań wpłaty i wypłaty. Clipper odrzucił te twierdzenia, ale przyznał, że potrzebna jest dokładna analiza.

Protokół podejmuje działania w obliczu rosnących kradzieży kryptowalut.

W obliczu ataku Clipper wstrzymał wymiany i wpłaty, pozostawiając otwarte wypłaty, chociaż z surowszymi warunkami. Użytkownicy mogą wypłacać środki tylko w mieszance aktywów z dotkniętych pul. Protokół aktywnie śledzi skradzione środki i wyciągnął rękę do napastnika, zapraszając go do nawiązania kontaktu w celu potencjalnych negocjacji.

To naruszenie zwiększa niepokojący bilans ponad 1,48 miliarda USD skradzionych kryptowalut globalnie w 2024 roku, według niedawnego raportu Immunefi. Chociaż ta liczba oznacza 15% spadek w porównaniu do tego samego okresu w zeszłym roku, podkreśla stałe luki, które dręczą sektor DeFi.

Shipyard Software Inc., twórca Clipper, jeszcze nie wydał dalszych oświadczeń dotyczących incydentu. Dla Clipper i jego użytkowników, atak jest wyraźnym przypomnieniem o znaczeniu solidnych protokołów bezpieczeństwa w ochronie zdecentralizowanych platform.

Atak na Clipper DEX ujawnia lukę o wartości 450 000 USD, zespół wyklucza wyciek klucza prywatnego.