Ứng dụng phi tập trung dựa trên Solana, CashioApp đã mất khoảng 50 triệu đô la tiền điện tử vì một vụ khai thác đã được các chuyên gia blockchain nhận thấy trước đây trên các ứng dụng dựa trên Solana khác, như báo cáo của Paradigm Samczsun.
Nhà nghiên cứu đã mô tả chi tiết phương pháp cho phép tin tặc có quyền truy cập vào người dùng.
Khai thác tài khoản giả mạo
Để đúc mã thông báo CASH mới, người dùng gửi một số tiền thế chấp nhất định theo lệnh gọi chương trình chéo để chuyển mã thông báo từ tài khoản sang giao thức. Chương trình cũng kiểm tra xem hai tài khoản có cùng loại mã thông báo trên số dư của họ hay không; nếu không, việc chuyển nhượng sẽ bị từ chối.
Samczsun đã chỉ cho những người theo dõi của mình cách chính xác để xác thực tài sản vẫn còn trên tài khoản người gửi. Hàm “crate_collateral_tokens” so sánh hai tài khoản có cùng một loại mã thông báo.
Một ngày khác, một vụ khai thác tài khoản giả mạo khác của Solana. Thời gian này, CashioApp mất khoảng 50 triệu đô la . Làm sao chuyện này lại xảy ra?
Nhưng thật không may, các chức năng đúc mã thông báo mới chưa bao giờ được xác thực, điều này làm cho tất cả các bước được mô tả ở trên trở nên vô nghĩa vì hàm chính không được xác thực bởi quy trình được đề cập ở trên.
Sau khi tin tặc nhận thấy vấn đề trong mã hợp đồng, anh ta hoặc cô ta bắt đầu tạo một chuỗi tài khoản giả trước khi cuối cùng tạo một tài khoản giả, crate_collateral_tokens. Tóm lại, vì một lỗ hổng trong mã của Cashio mà không thiết lập nguồn gốc tin cậy cho tất cả các tài khoản được sử dụng, kẻ tấn công đã có thể đánh cắp ít nhất 50 triệu đô la.
Các dự án DeFi bị tấn công
Gần đây, hãng bảo mật blockchain PeckShield đã chia sẻ một số cảnh báo để bảo vệ chủ sở hữu và người dùng dựa trên Binance Smart Chain. Các dự án như OneRing và UmbNetwork là mục tiêu của tin tặc đã đánh cắp tài sản trị giá hàng triệu USD từ số dư của họ. Thiệt hại ước tính khoảng 1,8 triệu USD.
Lý do phổ biến nhất đằng sau hầu hết mọi vụ khai thác là một đoạn mã có sai sót trong các hợp đồng thông minh của các dự án, bao gồm cả các vấn đề về SafeMath.
TUYÊN BỐ TỪ CHỐI TRÁCH NHIỆM: Các quan điểm và ý kiến được đề cập trong bài viết chỉ nhằm mục đích cung cấp thông tin và không cấu thành lời khuyên về đầu tư. Tiền điện tử có rủi ro cao, hãy cẩn trọng trong giao dịch
Nguồn: ViMoney tổng hợp