За апошні год дэцэнтралізаваныя фінансы (DeFi) перажылі экспанентны рост з больш чым 4.3 мільёна карыстальнікаў на момант напісання артыкула. Залішне казаць, што ён не паказвае ніякіх прыкмет запаволення, улічваючы цяперашні попыт. Тым не менш, узломы, махлярства і падобныя незаконныя дзеянні таксама адыгралі сваю ролю. Як бы прыкра гэта ні гучала, у гэтым звязаны некаторыя рызыкі бяспекі.
Рэзкі крок(і)
Шматмільярдны блокчейн-гульнявы гігант Illuvium у цяперашні час з'яўляецца прадметам абмеркавання пасля таго, як стаў ахвярай незаконнай дзейнасці. Хаця да гэтага часу ніякіх сродкаў не было скампраметавана.
Illuvium - гэта фэнтэзійны баявы від спорту з адкрытым светам, які пабудаваны ў сетцы Ethereum і мае на мэце ператварыцца ў асноўны від спорту на аснове блокчейна з рэйтынгам AAA, які ўключае элементы дэцэнтралізаванага фінансавання (DeFi) і незаменных токенаў (NFT).
Вось цікавая частка. Пасля выяўлення ўразлівасці ў кантрактах на стэкінг Illuvium зліў усе сродкі з пула Uniswap. Тым самым не даючы зламысніку абнаявіць грошы. Каманда напісала ў твітэры:
Мы выявілі ўразлівасць у нашых кантрактах на стаўку, і таму eDAO паставіла часовую паўзу ў $sILV чаканка. Вектар атакі быў закрыты, і сродкі не былі скампраметаваны. Гэта выключна ахоўны механізм для DAO. (1/2)
- Illuvium (@illuviumio) Студзень 4, 2022
Згаданая мера засцярогі не з'яўляецца нечаканасцю. Асабліва з улікам павелічэння колькасці ўзломаў, эксплойтаў і нападаў у свеце DeFi. Але перашкода была ліквідавана. Прынамсі, так заявіла каманда. У абнаўленні сказана,
«Уразлівасць была выпраўлена ў кантрактах на стэйкінг V2, і мы чакаем іх запуску ў бліжэйшы час. $ILV уладальнікі будуць мець час да продажу зямлі, каб патрабаваць іх $sILV. Прыносім прабачэнні за нязручнасці. Забеспячэнне абароны DAO - наш галоўны прыярытэт».
Вось у чым значнасць вышэйзгаданай акцыі. У пуле sILV/ETH Uniswap V3 былі знясілены ўсе сродкі ў серыі буйных транзакцый. Ён нават скараціў гандлёвую цану sILV да 0 долараў, хоць і часова.
Далейшы аналіз
Падчас далейшага аналізу каманда разам з сузаснавальнікам сеткі Ааронам Уорыкам зрабіла некалькі назіранняў.
Па-першае, былі карыстальнікі рэкамендуецца каб не купіць любую ліквіднасць. Таксама зламыснікам удалося выкрасці частку сродкаў. Але ў цяперашні час незразумела, колькі sILV зламыснік змог абнаявіць у выглядзе ETH, перш чым камандзе ўдалося цалкам асушыць пул.
Акрамя таго, каманда дадала некалькі звестак, каб папярэдзіць карыстальнікаў аб наступных кроках.
…яны не губляюць ніякіх сродкаў ад гэтай атакі. Мы вывучаем праблему і будзем працягваць прадастаўляць абнаўленні як мага хутчэй. Нагадваем, што мы не можам спыніць людзей рабіць пакупкі ў пул прама зараз, але, калі ласка, НЕ купляйце ў неафіцыйным пуле sILV. ⚠️ (3/3)
- Illuvium (@illuviumio) Студзень 4, 2022
У рамках апошняга папярэджання каманда праліла святло на важны аспект. Пра што трэба падумаць, перш чым дзейнічаць.
Ёсць ашуканцы, якія выдаюць сябе за акаўнт афіцыйнай службы падтрымкі Illuvium у твітэры і робяць выгляд, што прапануюць дапамогу. Наш уліковы запіс у Twitter правераны (праверце сінюю галачку). Ніколі не паведамляйце свае паролі або пачатковыя фразы і не націскайце на падазроныя спасылкі. Мы паведамілі пра акаўнт у Twitter.
- Illuvium (@illuviumio) Студзень 4, 2022
У цэлым, дэталёвае пасмяротнае даследаванне дасць неабходную інфармацыю для вышэйзгаданага ўзлому. На дадзены момант ILV, токен кіравання Illuvium сапраўды пацярпеў сур'ёзны ўдар. Ён таргаваўся на адзнацы 990 долараў з карэкцыяй на 4% за 24 гадзіны.
Крыніца: https://ambcrypto.com/illuvium-takes-measures-to-protect-staked-funds-post-discovery-of-vulnerability/