Η Blockchain startup εταιρεία MonoX Finance δήλωσε την Τετάρτη ότι ένας χάκερ έκλεψε 31 εκατομμύρια δολάρια εκμεταλλευόμενος ένα σφάλμα στο software που χρησιμοποιεί η υπηρεσία για τη σύνταξη έξυπνων συμβάσεων.
Δείτε επίσης: Η Ουκρανία συλλαμβάνει τους χάκερ της ομάδας «Phoenix»
Η εταιρεία χρησιμοποιεί ένα πρωτόκολλο decentralized finance γνωστό ως MonoX που επιτρέπει στους χρήστες να ανταλλάσσουν digital currency tokens χωρίς κάποιες από τις απαιτήσεις των παραδοσιακών exchanges.
Ένα λογιστικό σφάλμα ενσωματωμένο στο λογισμικό της εταιρείας επέτρεψε σε έναν εισβολέα να διογκώσει την τιμή του token MONO και στη συνέχεια να το χρησιμοποιήσει για να εξαργυρώσει όλα τα άλλα κατατεθέντα tokens, αποκάλυψε η MonoX Finance σε μια ανάρτηση. Η άντληση ανήλθε σε tokens αξίας 31 εκατομμυρίων δολαρίων στα blockchains Ethereum ή Polygon – και οι δύο υποστηρίζονται από το πρωτόκολλο MonoX.
Συγκεκριμένα, το hack χρησιμοποίησε το ίδιο token με το tokenIn και το tokenOut, που είναι μέθοδοι για το exchanging της αξίας ενός token με ένα άλλο. Το MonoX ενημερώνει τις τιμές μετά από κάθε swap υπολογίζοντας νέες τιμές και για τα δύο tokens. Όταν ολοκληρωθεί το swap, η τιμή του tokenIn —δηλαδή του token που αποστέλλεται από τον χρήστη— μειώνεται και η τιμή του tokenOut—ή το token που λαμβάνει ο χρήστης— αυξάνεται.
Δείτε επίσης: Χάκερ χρησιμοποιούσαν ελάττωμα σε δημοφιλές λογισμικό e-commerce
Χρησιμοποιώντας το ίδιο token τόσο για το tokenIn όσο και για το tokenOut, ο χάκερ διόγκωσε την τιμή του token MONO επειδή η ενημέρωση του tokenOut αντικατέστησε την ενημέρωση τιμής του tokenIn. Στη συνέχεια, ο χάκερ αντάλλαξε το token με tokens αξίας 31 εκατομμυρίων δολαρίων στα blockchains Ethereum και Polygon.
Δείτε επίσης: Οι χάκερ αναπτύσσουν Linux malware σε e-commerce servers
Δεν υπάρχει πραγματικά κανένας λόγος για την ανταλλαγή ενός token με το ίδιο token και επομένως το λογισμικό που διεξάγει τις συναλλαγές δεν θα έπρεπε να έχει επιτρέψει αυτές τις τέτοιες συναλλαγές. Δυστυχώς, έγινε, παρά το γεγονός ότι το MonoX πραγματοποιήσε τρεις ελέγχους ασφαλείας φέτος.
Πηγή πληροφοριών: arstechnica.com
