Команда протокола Nemo объявила причину возникновения уязвимости, которой несколько дней назад воспользовался хакер и вывел криптоактивы на $2,4 млн.
В отчете команды Nemo говорится, что эксплойт возник из-за кода с новыми функциями, который начал развертывать неназванный разработчик. Он не сообщил аудиторам MoveBit, что это новое дополнение, попавшее в старые проверенные исправления. Используя уязвимость, злоумышленник воспользовался функцией мгновенного кредитования — по ошибке она оставалась общедоступной — и некорректной функцией ценообразования. Эта функция оказалась способна изменять внутренние данные смарт-контракта, хотя должна была только считывать информацию.
В результате хакер воспользовался системными недостатками для заимствования и выпуска токенов, и посредством этих манипуляций опустошил пул ликвидности Nemo. Позже злоумышленник перевел украденные средства в блокчейн Эфириума через Wormhole CCTP.
Команда Nemo сообщила, что выпустила патч для устранения уязвимостей, удалив функцию мгновенного займа, и скорректировав инструмент ценообразования, чтобы тот не мог изменять внутренние данные. Разработчики также устранили еще один баг, способный влиять на обменные курсы. Сейчас создатели Nemo проводят экстренный аудит и планируют привлечь несколько работающих в сфере безопасности компаний для проверки обновленного кода. Чтобы протокол мог вновь работать в штатном режиме, команда Nemo собирается сбросить поврежденные ончейн-данные и провести ребалансировку пулов ликвидности.
Подробнее: https://bits.media/razrabotchiki-protokola-nemo-nazvali-prichinu-vzloma-i-krazhi-2-4-mln/
DayTimeNews.RU
СМОТРИТЕ ТАКЖЕ: