Лучшие аналитические материалы о криптовалютах прямо в вашу электронную почту.
Хакеры атаковали форк Flooring Protocol Asterisk, и инфекция начала распространяться
- В результате взлома уязвимости с сервера Asterix, форка Flooring Protocol, было украдено около 40 000 долларов, при этом использовалась та же уязвимость, которая днем ранее обошлась Flooring более чем в 900 000 долларов.
- Исследователи-«белые хакеры» из Yuga Labs извлекли из бассейнов Flooring NFT на сумму около 500 000 долларов.
- Эти последовательные атаки подчеркивают риск того, что форкнутые кодовые базы унаследуют незакрытые уязвимости безопасности в год, когда потери от криптоэксплойтов уже превысили 340 миллионов долларов.
Сегодня эксплойт Flooring Protocol, произошедший 8 июня, получил продолжение: Asterix, форк платформы ликвидности NFT, стал жертвой взлома, в результате которого было украдено активов на сумму около 40 000 долларов.
Новости об уязвимости портят настроение после того, как специалисты по кибербезопасности сообщили, что помогли вернуть более 500 000 долларов в NFT-токенах премиум-класса, используя ту же уязвимость в Flooringtrac, которая, по всей видимости, была использована для взлома Asterisk.
Уязвимость протокола Flooring Protocol распространилась на Asterisk через форкнутый код
Фалкон, сотрудник компании BlockSec, занимающейся безопасностью блокчейна, одним из первых заметил сходство между вектором атаки Asterix и уязвимостью, которая позволила злоумышленникам опустошить пулы Flooring Protocol 8 июня.
Фалкон заявил, что атака на Flooring Protocol по сути была направлена против Астерикса, поскольку последний, по-видимому, был ответвлением от DN404/BT404, стандарта токенов, который сочетает в себе взаимозаменяемые и невзаимозаменяемые механизмы.
с напольным покрытиемdent указывали на ущерб в размере более 900 000 долларов, прежде чем вмешательство «белых» специалистов помогло вернуть около 500 000 долларов.
Компания Asterix уже подтвердила взлом в заявлении, признав, что уязвимость затронула контракт токена $ASTXtrac4 утра по Гринвичу (GMT+8). Команда сообщила, что проводит расследование и опубликует полный анализ после его завершения.
Как произошла уязвимость в системе напольного покрытия?
Flooring Protocol, прекративший свою деятельность в прошлом году, позволял пользователям вносить NFT в пулы и получать взаимозаменяемые токены, привязанные один к одному к этим заблокированным активам.
Атака Flooring Protocol, которая с тех пор начала распространяться, использовала уязвимость в системе учета платформы, работающей по принципу BT404, которую вице-президент Yuga Labs по блокчейну назвал феноменом «призрачного владения» наX.
Проще говоря, это означает, что кто-то может использовать один вредоносный идентификатор токена для прохождения одной проверки права собственности и при этом повторно использовать его для получения другого результата в другой логике учета, что вызоветmaticпроблему в балансе токенов.
В данном случае злоумышленник создал практически бесконечный баланс fpTokens — взаимозаменяемых токенов, которые любой может использовать для получения NFT, заблокированных в пулах Flooring.
Компания Yuga Labs активизирует усилия в области "белой" хакерской деятельности
После того, как информация о взломе Flooring стала достоянием общественности, генеральный директор Yuga Labs Майкл Фигге заявил, что компания быстро начала операцию по спасению уязвимых NFT, прежде чем другой злоумышленник смог бы получить к ним доступ.
В ходе операции по спасению NFT было изъято 68 NFT на сумму около 346 ETH (примерно 570 000 долларов США на тот момент), включая 29 NFT Bored Ape Yacht Club, четыре Mutant Ape, два CryptoPunk, один Azuki, два Elemental, 26 Captains, один Moonbird и два Doodles.
Проект Super Secret Rare (SSR), обнаруживший свою уязвимость после атаки на Asterisk, предупредил пользователей воздержаться от взаимодействия с пулом, пока ситуация не разрешится.
Компания FreeLunchCapital, разработчикtracFlooring, которые были затронуты этой уязвимостью, подтвердила, что она также затронула BitmapPunks, использовавший аналогичную структуруtrac. Оба проекта полагались на взаимозаменяемые токены, привязанные один к одному к заблокированным NFT, что делало их уязвимыми для одного и того же пути атаки.
Одна уязвимость за другой
с Flooring и Asterixdentусугубляют и без того печальную череду сбоев в системе безопасности, охвативших Web3. Как Cryptopolitan отмечалось в предыдущих отчетах, астрономическиеtronпотери в апреле переросли в увеличение числа отдельных инцидентовdentмае, достигнув 60 подтвержденных инцидентов безопасностиdentобщую сумму 68,3 миллиона долларов, по данным Certik. PeckShield отнесла потери в размере 340,7 миллиона долларов к 14 уязвимостям в мостах и кроссчейн-уязвимостях по состоянию на 1 июня.
Разветвлённые протоколы создают свои собственные проблемы. Когда проекты-доноры копируют код без его аудита, одна и та же уязвимость в базовом коде может быть воспроизведена на нескольких уровнях, как это произошло сейчас в случае с Flooring и Asterix.
Компания Yuga Labs заявила, что спасенные NFT будут возвращены после того, как разработчики Flooring Protocol завершат работу над патчем. 0xQuit предупредил пользователей не вносить новые NFT в Flooring, пока уязвимость остается открытой. Для держателей Asterix потеря в размере 40 000 долларов невелика, но команда пока не сообщила, возможно ли какое-либо восстановление.
Если вы это читаете, значит, вы уже впереди. Оставайтесь на шаг впереди, подписавшись на нашу рассылку.
Часто задаваемые вопросы
Что такое Asterix и как он связан с Flooring Protocol?
Asterix — это проект, который отделил свой код от Flooring Protocol и стандарта токенов DN404/BT404. Благодаря общему коду, та же уязвимость, которая была использована в Flooring 8 июня, могла быть применена против Asterix на следующий день.
Сколько средств было потеряно и восстановлено в результате уязвимости Flooring Protocol?
Общий ущерб от взлома Flooring превысил 900 000 долларов, при этом специалисты по кибербезопасности вернули NFT на сумму около 500 000 долларов, включая 29 Bored Apes и два CryptoPunk.
Что стало причиной уязвимости в протоколе Flooring Protocol?
По словам вице-президента Yuga Labs по блокчейну 0xQuit, уязвимость в системе учета Flooring, работающей по принципу BT404, позволила вредоносному идентификатору токена пройти одну проверку на право собственности, но получить другой результат при последующих проверках, создав состояние «призрачного владения», которое дало злоумышленнику практически бесконечный баланс токенов, претендующих на владение.
Предупреждение. Предоставленная информация не является торговой рекомендацией. Cryptopolitanнастоятельно не несет ответственности за любые инвестиции, сделанные на основе информации, представленной на этой странице. Мыtronпровести независимоеdent и/или проконсультироваться с квалифицированным специалистом, прежде чем принимать какие-либо инвестиционные решения.
Ханна Коллимор
Ханна — писательница и редактор с почти десятилетним опытом ведения блогов и освещения мероприятий в криптопространстве. В CryptopolitanХанна пишет для новостной страницы, освещая и анализируя последние события в DeFi, RWA, регулирования криптовалют, ИИ и передовых технологических отраслей. Она окончила университет Аркадия со степенью в области делового администрирования.
- Какие криптовалюты могут принести вам деньги?
- Как повысить безопасность своего кошелька (и какие из них действительно стоит использовать)
- Малоизвестные инвестиционные стратегии, используемые профессионалами
- Как начать инвестировать в криптовалюту (какие биржи использовать, какую криптовалюту лучше купить и т.д.)