Protokol kewangan terdesentralisasi silang rantaian (DeFi) Rubic telah terjejas, mengakibatkan dana yang disimpan dalam alamat penggunanya disedut keluar dan dipindahkan kepada penggodam.
Pada 25 Dis, protokol Rubic mengumumkan bahawa salah satu kontrak penghalaannya telah terjejas dan semua kontrak akan dihentikan sehingga situasi itu difahami sepenuhnya. Pengumuman itu berbunyi:
Pencipta protokol juga menasihatkan pengguna mereka untuk membatalkan kebenaran kontrak melalui alat revoke.cash. Benang Twitter oleh firma keselamatan siber blockchain PeckShield menjelaskan bahawa kelemahan dalam protokol Rubic menyebabkan kerugian dana bernilai $1.41 juta terus daripada dompet yang membenarkan kontrak pintarnya.
Alamat pengeksploitasi menerima dana daripada Uniswap pertukaran terdesentralisasi (DEX) dalam urus niaga yang melibatkan stablecoin USD Coin (USDC). PeckShied menjelaskan bahawa penggodaman itu berlaku kerana tersilap menambah USDC ke dalam penghala yang disokong. Tambahan pula, "kekurangan pengesahan dalam ruterCallNative" juga membenarkan penggunaan kontrak berniat jahat.
Analisis kontrak pintar pantas dengan bantuan chatGPT mencadangkan bahawa fungsi ruterCallNative mengandungi banyak potensi kelemahan, termasuk input tidak sah untuk parameter "_params" dan "_data". Ini boleh membenarkan penyerang menghantar input berniat jahat yang boleh mengakibatkan tingkah laku yang salah atau tidak diingini.
Selain itu, parameter "_gateway" yang dihantar kepada fungsi adalah tidak terhad, berpotensi membenarkan penyerang membuat kontrak dan melaksanakannya oleh kontrak RubicProxy.
Memang penyerang digunakan kontrak pintar tersuai yang digunakan dalam serangan itu. The kod bait yang dinyahkod menunjukkan 337 baris kod yang membenarkan penyerang melakukan serangan secekap mungkin.
Alamat penggodam pertama kali menerima 1,161.55 ethereum (ETH) dan pemindahan 26.88 ETH lagi, kedua-duanya daripada protokol Uniswap yang menyedut keluar secara eksklusif USDC dan menukarnya dengan ethereum berbalut (WETH). Semua WETH ini kemudiannya dihantar kepada pengadun on-chain dan entiti yang dibenarkan Tunai Tornado untuk menamakan dana yang diperoleh secara haram.
Analisis dalam rantaian menunjukkan bahawa transaksi masuk bernilai $1.45 juta yang dihantar ke perkhidmatan anonimasi syiling berasal dari alamat penggodam — dengan jumlah nilai masuk untuk perkhidmatan kira-kira $2.9 juta. Dalam erti kata lain, kira-kira separuh daripada aset yang dihantar kepada pengadun hari ini dihantar oleh pengeksploitasi.
Walaupun dana penggodam adalah sebahagian besar daripada jumlah transaksi masuk perkhidmatan, kerahsiaan mereka masih besar. Deposit itu mungkin antara pengeluaran $2 juta daripada Tornado Cash yang diproses hari ini atau antara aset bernilai $174 juta yang masih disimpan dalam kontrak pintar.
Tornado Cash ialah protokol DeFi yang kini tidak sah yang membolehkan pengguna melakukan pemindahan tanpa nama pada blockchain Ethereum. Protokol menggunakan bukti pengetahuan sifar (bukti ZK) untuk menyembunyikan alamat input dan output transaksi. Adalah sukar bagi pihak ketiga untuk menentukan identiti pihak yang terlibat dalam transaksi atau tujuan khusus pemindahan.
Tornado Cash ialah projek sumber terbuka yang dibina di atas blockchain Ethereum dan boleh diakses oleh sesiapa sahaja yang mempunyai dompet Ethereum. Pengguna boleh berinteraksi dengan kontrak Tornado Cash menggunakan dompet Ethereum mereka atau antara muka web yang masih tersedia melalui perkhidmatan pengehosan terpencar InterPlanetary File System (IPFS). Mereka boleh melakukan pemindahan tanpa nama ETH atau token yang mematuhi piawaian ERC-20 dengan menghantar dana mereka ke kontrak Tornado Cash dan mengeluarkannya ke alamat baharu.
Berita itu menyusuli baru-baru ini laporan bahawa penggodam Korea Utara telah mencuri sekitar $1.2 bilion dalam mata wang kripto dan aset maya lain dalam tempoh lima tahun yang lalu. Kebanyakan penggodaman tersebut berlaku pada tahun 2021 sahaja.
Sumber: https://crypto.news/rubic-dex-aggregator-hack-leads-to-1-4m-of-user-funds-stolen/