ў цвыркаюць 21 верасня Forta, дэцэнтралізаваная сетка, якая выяўляе пагрозы і анамаліі ў DeFi, NFT, кіраванні, мастах і іншых сістэмах Web3 у рэжыме рэальнага часу, сцвярджала, што выявіла і пазначыла ўзлом Olympus DAO коштам 300,000 XNUMX долараў да таго, як ён адбыўся.
Хоць потым хакер вярнуў усе 30,437 XNUMX ОМ токены коштам каля 300,000 XNUMX долараў, якія яны скралі, твіт Форты прывёў да серыі твітаў ад суполкі, якія задаюцца пытаннем, чаму ўзлом усё ж адбыўся, нягледзячы на тое, што Форта падняла трывогу.
Шукаеце хуткія навіны, гарачыя парады і аналіз рынку? Падпішыцеся на рассылку Invezz сёння.
Узлом OlympusDAO: што пайшло не так?
21 верасня ў 1:22 раніцы па ўсходнееўрапейскім часе хакер змог зліць 30,437 XNUMX токенаў OHM з разумны кантракт па пратаколе аблігацый, якім кіруе Olympus DAO. У адпаведнасці з ахоўная фірма PeckShield, узлом адбыўся з-за няўдалай праверкі шкоднаснага запыту на перавод сродкаў ад хакера.
PeckShield сказаў:
«Закрануты кантракт, вядомы як «BondFixedExpiryTeller», выкарыстоўваўся для адкрыцця аблігацый, намінаваных у токенах OHM Olympus DAO. У кантракце адсутнічаў увод праверкі ў функцыі «redeem(), што дазваляла зламысніку падмануць уведзеныя значэнні, каб выкупіць сродкі».
Заява Forta аб выяўленні ўзлому да таго, як ён адбыўся, таксама згадвае той жа смарт-кантракт «BondFixedExpiryTeller». Фарта ў а цвыркаюць сказаў:
«За некалькі хвілін да атакі падазроны кантрактны бот Forta, які працуе на аснове машыннага навучання, спрацаваў, паказваючы, што кантракт BondFixedExpiryTeller @OlympusDAO вось-вось будзе атакаваны»
Хак усё ж адбыўся, нягледзячы на выяўленне Forta
Каманда Olympus у афіцыйным Discord прызнаны што ўзлом адбыўся, кажучы:
«Сёння раніцай адбыўся эксплойт, з дапамогай якога зламыснік змог зняць прыкладна 30 тысяч OHM (300 тысяч долараў) з кантракту аблігацый OHM у Bond Protocol».
Адказваючы на занепакоенасць тым, чаму ўзлом усё ж адбыўся, нягледзячы на папярэднюю пазнаку, Forta сказаў:
«Гэты трывога прагучаў толькі праз 21 секунду пасля разгортвання кантракту і за 1 хвіліну 39 секунд да нападу. Нягледзячы на тое, што ўмяшанне чалавека магло б не перамагчы, відавочна, што выкарыстанне маніторынгу для ўбудовы аўтаматычных выключальнікаў у пратаколы павінна стаць найважнейшай часткай будучыні Web3».
Але да гэтага часу незразумела, як бы Olympus адрэагаваў на папярэджанне ад Forta, паколькі некаторыя лічаць, што прыпыненне кантракту прыцягнула б DDOS-атаку.
Адна з прозвішчам Тайга падчас адказу Форце ў Twitter сказаў:
«Як бы вы параілі дзейнічаць у гэтым выпадку? Калі б яны аўтаматычна прыпынілі дзеянне кантракта на аснове гэтага папярэджання, яны былі б успрымальныя да DDOS-атак, у выніку якіх я б разгарнуў дзіўныя кантракты са спамам са спасылкай на іх адрас. Шчыра цікава, як найлепшым чынам выкарыстоўваць Forta».
Іншы па імені Крысціян Зайферт сказаў:
«Я думаю, што паўза - гэта вялікі малаток. Я думаю, што неабходны больш тонкі падыход, які запавольвае зламысніка/змякчае атаку, але пакідае пратакол усё яшчэ функцыянальным для рэгулярных карыстальнікаў. Часавыя замкі прыходзяць на розум, але гэта трэба больш канкрэтызаваць».
Аднак, прымаючы ўсё пад увагу, як адзін з адказчыкаў Twitter выдзелены «Палова справы - ранняе выяўленне. Другая палова - прафілактыка. Другая палова гістарычна не мела значэння, таму што ранняе выяўленне не было рэччу. Цяпер, калі гэта так, акцэнт перамяшчаецца на механізмы прафілактыкі, і гэта трэба рэалізаваць на прыкладным узроўні».
Укладвайце грошы ў крыпта, акцыі, ETF і іншае за лічаныя хвіліны з нашым пераважным брокерам, Etoro.
10/10
68% рознічных рахункаў CFD губляюць грошы