2 Aralık'ta, bir laboratuvar on-chain verileri izleyerek aBNBc projesinin bir hacker saldırısına uğradığını ve büyük ölçekli Token arzı işlemlerinin gerçekleştiğini tespit etti. Hacker, aBNBc Token'ının büyük miktarda arzını başarıyla artırdı, bunların bir kısmını merkeziyetsiz işlem platformunda BNB'ye dönüştürdü, bir kısmını ise Cüzdanında bıraktı. Ayrıca, hacker fon transferi için karıştırma araçlarını kullandı. Bu saldırı olayı, aBNBc Token'ının likidite havuzunun tükenmesine neden oldu, coin fiyatı büyük düşüş yaşadı, aynı zamanda saldırgan artırılan Token'ları teminat olarak kullanarak borç alım satımı yaptı ve borç verme platformuna zarar verdi.
Birden fazla işlem verisi analiz edildikten sonra, çağrıcı adreslerinin farklı olmasına rağmen, hepsinin Token arzını artırdığı tespit edildi. Proje saldırıya uğramadan önce sözleşme güncellemesi gerçekleştirmişti ve güncellenen mantıksal sözleşmede arz artırma fonksiyonu yetki kontrolünden yoksundu.
Saldırgan, proxy sözleşmesi aracılığıyla mantık sözleşmesindeki belirli bir fonksiyonu çağırdı. Bu fonksiyon yetki kontrolü yapılmadığı için aBNBc token'ı büyük miktarda artırıldı. Saldırıdan sonra, proje ekibi mantık sözleşmesini tekrar güncelledi ve yeni versiyonda artırma fonksiyonuna yetki kontrol mekanizması eklendi.
Şu anda, hacker bazı artan aBNBc'yi BNB'ye dönüştürdü ve transfer etti, ancak büyük miktarda kalan aBNBc hala saldırganın Cüzdanında bekliyor.
Bu saldırı esasen sözleşme güncellemesinden kaynaklanmaktadır; yeni mantık sözleşmesindeki artırma fonksiyonu yetki kontrolü eksikliği nedeniyle hackerların keyfi olarak token artırmasına olanak tanımıştır. Şu anda, güvenlik denetimi ve testinden geçmemiş sözleşme kodlarının mı kullanıldığı yoksa özel anahtar sızıntısı nedeniyle hackerların sözleşmeyi kendilerinin mi güncellediği henüz net değildir.
Bu olay, kullanıcıların ve projelerin cüzdan özel anahtarlarını ve kurtarma kelimelerini dikkatlice saklamaları gerektiğini, rastgele bir yerde tutmamaları gerektiğini hatırlatıyor. Aynı zamanda, sözleşme güncellemeleri yaparken kapsamlı güvenlik testlerinin yapılması gerektiği, benzer risklerin önlenmesi için önemlidir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
19 Likes
Reward
19
4
Repost
Share
Comment
0/400
NFTArtisanHQ
· 08-14 19:27
yine başka bir defi projesi kötü akıllı sözleşme tasarımının estetiğine kurban gidiyor... aslında oldukça şiirsel
aBNBc, Hacker saldırısına uğradı. Artış fonksiyonu açığı nedeniyle Token büyük düşüş yaşadı.
2 Aralık'ta, bir laboratuvar on-chain verileri izleyerek aBNBc projesinin bir hacker saldırısına uğradığını ve büyük ölçekli Token arzı işlemlerinin gerçekleştiğini tespit etti. Hacker, aBNBc Token'ının büyük miktarda arzını başarıyla artırdı, bunların bir kısmını merkeziyetsiz işlem platformunda BNB'ye dönüştürdü, bir kısmını ise Cüzdanında bıraktı. Ayrıca, hacker fon transferi için karıştırma araçlarını kullandı. Bu saldırı olayı, aBNBc Token'ının likidite havuzunun tükenmesine neden oldu, coin fiyatı büyük düşüş yaşadı, aynı zamanda saldırgan artırılan Token'ları teminat olarak kullanarak borç alım satımı yaptı ve borç verme platformuna zarar verdi.
Birden fazla işlem verisi analiz edildikten sonra, çağrıcı adreslerinin farklı olmasına rağmen, hepsinin Token arzını artırdığı tespit edildi. Proje saldırıya uğramadan önce sözleşme güncellemesi gerçekleştirmişti ve güncellenen mantıksal sözleşmede arz artırma fonksiyonu yetki kontrolünden yoksundu.
Saldırgan, proxy sözleşmesi aracılığıyla mantık sözleşmesindeki belirli bir fonksiyonu çağırdı. Bu fonksiyon yetki kontrolü yapılmadığı için aBNBc token'ı büyük miktarda artırıldı. Saldırıdan sonra, proje ekibi mantık sözleşmesini tekrar güncelledi ve yeni versiyonda artırma fonksiyonuna yetki kontrol mekanizması eklendi.
Şu anda, hacker bazı artan aBNBc'yi BNB'ye dönüştürdü ve transfer etti, ancak büyük miktarda kalan aBNBc hala saldırganın Cüzdanında bekliyor.
Bu saldırı esasen sözleşme güncellemesinden kaynaklanmaktadır; yeni mantık sözleşmesindeki artırma fonksiyonu yetki kontrolü eksikliği nedeniyle hackerların keyfi olarak token artırmasına olanak tanımıştır. Şu anda, güvenlik denetimi ve testinden geçmemiş sözleşme kodlarının mı kullanıldığı yoksa özel anahtar sızıntısı nedeniyle hackerların sözleşmeyi kendilerinin mi güncellediği henüz net değildir.
Bu olay, kullanıcıların ve projelerin cüzdan özel anahtarlarını ve kurtarma kelimelerini dikkatlice saklamaları gerektiğini, rastgele bir yerde tutmamaları gerektiğini hatırlatıyor. Aynı zamanda, sözleşme güncellemeleri yaparken kapsamlı güvenlik testlerinin yapılması gerektiği, benzer risklerin önlenmesi için önemlidir.