Le 2 décembre, un laboratoire a découvert grâce aux données on-chain que le projet aBNBc avait subi une attaque de hacker, entraînant une émission massive de jetons. Le hacker a réussi à émettre une grande quantité de jetons aBNBc, dont une partie a été échangée contre BNB sur une plateforme de trading décentralisée, tandis qu'une autre partie est restée dans un portefeuille. De plus, le hacker a également utilisé des outils de mélange de pièces pour transférer des fonds. Cet incident d'attaque a conduit à l'épuisement du pool de liquidité des jetons aBNBc, entraînant une chute importante du prix des jetons, tandis que l'attaquant a utilisé les jetons nouvellement émis pour des prêts garantis, causant des pertes à la plateforme de prêt.
Après avoir analysé plusieurs données de transactions, il a été constaté que, bien que les adresses des appelants soient différentes, elles ont toutes entraîné une émission supplémentaire de jetons. Le projet avait effectué une mise à niveau du contrat avant d'être attaqué, et la fonction d'émission supplémentaire dans le contrat logique mis à jour manquait de vérification des permissions.
L'attaquant a appelé une fonction spécifique dans le contrat logique via un contrat proxy. Comme cette fonction n'a pas été soumise à un contrôle d'autorisation, cela a entraîné une émission massive de jetons aBNBc. Après l'attaque, l'équipe du projet a de nouveau mis à jour le contrat logique, ajoutant un mécanisme de vérification des autorisations à la fonction d'émission.
Actuellement, les hackers ont échangé une partie des aBNBc nouvellement émis contre des BNB et les ont transférés, tandis qu'une grande quantité d'aBNBc reste toujours bloquée dans le Portefeuille de l'attaquant.
Cette attaque provient principalement d'une mise à niveau de contrat, où la fonction d'émission supplémentaire du nouveau contrat logique manquait de vérification des autorisations, permettant ainsi au Hacker d'émettre des jetons sans restriction. Il n'est pas encore clair si un code de contrat non audité et non testé a été utilisé, ou si une fuite de clé privée a permis au Hacker de mettre à niveau le contrat lui-même.
Cet événement rappelle aux utilisateurs et aux projets de veiller à la bonne conservation des clés privées et des phrases de récupération des portefeuilles, afin d'éviter un stockage aléatoire. De plus, lors de la mise à niveau des contrats, il est impératif de réaliser des tests de sécurité complets pour prévenir des risques similaires.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
18 J'aime
Récompense
18
4
Reposter
Partager
Commentaire
0/400
NFTArtisanHQ
· 08-14 19:27
un autre projet defi tombe victime des esthétiques d'un mauvais design de contrat intelligent... pour être honnête, c'est assez poétique
Voir l'originalRépondre0
ZenZKPlayer
· 08-14 19:22
Un autre projet a échoué...
Voir l'originalRépondre0
DancingCandles
· 08-14 19:14
C'est encore un problème de détection des autorisations, n'est-ce pas ?
Voir l'originalRépondre0
OffchainWinner
· 08-14 19:12
Encore un projet ruiné par une mise à niveau, tsk tsk.
aBNBc a été attaqué par un Hacker, une faille dans la fonction d'émission a entraîné un big dump du jeton.
Le 2 décembre, un laboratoire a découvert grâce aux données on-chain que le projet aBNBc avait subi une attaque de hacker, entraînant une émission massive de jetons. Le hacker a réussi à émettre une grande quantité de jetons aBNBc, dont une partie a été échangée contre BNB sur une plateforme de trading décentralisée, tandis qu'une autre partie est restée dans un portefeuille. De plus, le hacker a également utilisé des outils de mélange de pièces pour transférer des fonds. Cet incident d'attaque a conduit à l'épuisement du pool de liquidité des jetons aBNBc, entraînant une chute importante du prix des jetons, tandis que l'attaquant a utilisé les jetons nouvellement émis pour des prêts garantis, causant des pertes à la plateforme de prêt.
Après avoir analysé plusieurs données de transactions, il a été constaté que, bien que les adresses des appelants soient différentes, elles ont toutes entraîné une émission supplémentaire de jetons. Le projet avait effectué une mise à niveau du contrat avant d'être attaqué, et la fonction d'émission supplémentaire dans le contrat logique mis à jour manquait de vérification des permissions.
L'attaquant a appelé une fonction spécifique dans le contrat logique via un contrat proxy. Comme cette fonction n'a pas été soumise à un contrôle d'autorisation, cela a entraîné une émission massive de jetons aBNBc. Après l'attaque, l'équipe du projet a de nouveau mis à jour le contrat logique, ajoutant un mécanisme de vérification des autorisations à la fonction d'émission.
Actuellement, les hackers ont échangé une partie des aBNBc nouvellement émis contre des BNB et les ont transférés, tandis qu'une grande quantité d'aBNBc reste toujours bloquée dans le Portefeuille de l'attaquant.
Cette attaque provient principalement d'une mise à niveau de contrat, où la fonction d'émission supplémentaire du nouveau contrat logique manquait de vérification des autorisations, permettant ainsi au Hacker d'émettre des jetons sans restriction. Il n'est pas encore clair si un code de contrat non audité et non testé a été utilisé, ou si une fuite de clé privée a permis au Hacker de mettre à niveau le contrat lui-même.
Cet événement rappelle aux utilisateurs et aux projets de veiller à la bonne conservation des clés privées et des phrases de récupération des portefeuilles, afin d'éviter un stockage aléatoire. De plus, lors de la mise à niveau des contrats, il est impératif de réaliser des tests de sécurité complets pour prévenir des risques similaires.