Ошибка в одной функции кодовой базы пула ликвидности привела к семизначным потерям
Содержание:
GYM Network — это кросс-протокольный агрегатор DeFi, предназначенный для оптимизации процесса выращивания урожая в сети BNB и упрощения его для новичков.
Сеть GYM позволила увеличить баланс без фактического внесения денег
Согласно заявлению, распространенному поставщиком услуг кибербезопасности PeckShield, сегодня, 8 июня 2022 года, один из элементов GYM Network, GymSinglePool, подвергся атаке.
Тренажерный залОдноместныйБассейн @GymNet_Official взломан с потерей 2.1 млн долларов (~ 7.5 тыс. BNB). Ошибка связана с отсутствием проверки звонящего, которая используется для увеличения баланса без внесения какой-либо оплаты. Украденные средства теперь депонированы через @TornadoCash https://t.co/I2eD8WBWXk pic.twitter.com/tUl3wnuIAW
- PeckShield Inc. (@peckshield) 8 июня 2022
В архитектуре пула отсутствовал инструмент проверки звонящего: злоумышленники могли увеличивать свои балансы, не отправляя им деньги.
Этот конструктивный недостаток был использован для похищения более 2.1 миллиона долларов. Злоумышленники сразу же начали переводить свою добычу в сервис запутывания транзакций Tornado Cash.
GYM, основная утилита и токен управления протокола, сразу же потерял более 50% своей цены, упав с 0.00099 до 0.00048 доллара.
Больше протоколов под угрозой?
По иронии судьбы протокол дважды проверялся самой PeckShield и CertiK. Кроме того, он использует кодовую базу Alpaca Finance, которая была проверена 20 раз.
Исследователь блокчейна Кириан Алекс (Kyrian.sol) подчеркнул, что GYM Network — далеко не единственный протокол, который содержит подобный недостаток дизайна:
Это не первый протокол, взламываемый из-за «отсутствия проверки вызывающего абонента». Похоже, мне придется проверить множество этих протоколов клонирования в поисках той же самой уязвимости.
Представители команды подтвердили факт нападения. Координатор сообщества GYM Network объяснил, что уязвимость была раскрыта в новом инструменте «Заяви и реинвестируй», развернутом два дня назад.
Команда добавляет, что к моменту публикации источник ошибки был идентифицирован и исправлен.
Источник: https://u.today/gym-network-protocol-hacked-21-million-stolen-heres-how