Ina-hack ng Attacker ang Treasure DAO ng Arbitrum para sa Higit sa 100 NFT sa pamamagitan ng Leveraging Marketplace Exploit

Attacker Hacks Arbitrum's Treasure DAO for Over 100 NFTs by Leveraging Marketplace Exploit

Ang isang non-fungible token market platform na binuo sa ibabaw ng Arbitrum na tinatawag na Treasure DAO ay na-hack noong Marso 3 sa 7:33 am (EST), ayon sa isang pagsusuri sa post mortem na inakda ng kumpanyang nakatuon sa seguridad na Certik. Ang ulat ng kumpanya ay nagsasaad na "mahigit 100 NFT ang ninakaw sa pag-atake," habang ang umaatake ay gumagamit ng isang kahinaan sa function na "buyer buyer item" ng marketplace.

Pagsusuri sa Post Mortem ng Certik Ipinapakita ang Arbitrum NFT Trading Platform Treasure DAO na Pinagsasamantalahan para sa Higit sa 100 NFT

Ang nangungunang Arbitrum NFT marketplace na Treasure DAO ay inatake noong Huwebes matapos matuklasan ng isang attacker ang pagsasamantala na nagresulta sa pagkawala ng "mahigit 100 NFT mula sa mga hindi pinaghihinalaang user." Ang pagsusuri sa post mortem ng pag-atake ay ipinadala sa Bitcoin.com News mula sa blockchain security firm na Certik, isang kumpanyang nagsusuri, sumusubaybay, at nagsusuri ng mga smart contract, blockchain tech, at decentralized finance (defi) na mga protocol.

"Ang Treasure DAO, isang NFT trading platform sa Arbitrum, ay pinagsamantalahan ng isang hindi kilalang umaatake na sinamantala ang isang depekto sa code ng platform," mga detalye ng pagsusuri ni Certik. "Ang pagsasamantala ay nagresulta sa pagkawala ng higit sa 100 NFT mula sa mga hindi pinaghihinalaang gumagamit. Pagkatapos ng ilang paunang pagsusuri at pagsubaybay sa wallet ng hacker sa Twitter, maraming mga ninakaw na NFT ang naibalik."

Hina-hack ng Attacker ang Treasure DAO ng Arbitrum para sa Higit sa 100 NFT sa pamamagitan ng Leveraging Marketplace Exploit — “Sinamantala ng umaatake ang isang error sa function ng Buyer.buyItem ng marketplace, na nagpapahintulot sa kanila na itakda ang _quantity na katumbas ng 0,” sabi ng post mortem ni Certik. “Sa dami ng 0, ang kabuuangPrice ay 0 din, bilang kabuuangPrice = _pricePerItem * _quantity. Nangangahulugan ito na walang binayaran ang umaatake para sa mga NFT na 'binili nila.' Dahil walang kinakailangan na _quantity > 0, normal na gumagana ang function. Maaaring malutas ang bug na ito sa pamamagitan ng pag-aatas ng mas mataas sa 0 na halaga para sa _quantity variable."

Bilang karagdagan, ang pagsusuri ng Certik sa sitwasyon ng Treasure DAO ay nagsasaad na ang katutubong token ng protocol na MAGIC ay nagbuhos ng higit sa 40% sa mga pagkalugi laban sa dolyar ng US. Ang co-founder ng Treasure DAO na si John Patten din tweeted tungkol sa kaganapan pagkatapos na nakawin ng umaatake ang mga pondo. “Treasure marketplace ay pinagsasamantalahan. Paki-delist ang iyong mga item. Sasagutin namin ang mga gastos sa pagsasamantala—personal kong ibibigay ang lahat ng aking mga Smol para ayusin ito,” sabi ni Patten. Idinagdag ng Treasure DAO co-founder:

Hindi ko maarok kung ano ang target ng subhuman sa isang patas na paglulunsad ng marketplace para sa pagnanakaw, ngunit hindi nila matatalo ang komunidad.

Sinabi ni Certik na Maaaring Pigilan ng Patuloy na On-Chain Analysis at Pre-Deployment Audits ang Mga Pagsasamantala sa Blockchain Protocol sa Hinaharap

Sinasabi ng mga analyst ng seguridad ng Certik na walang nakakaalam kung sino ang nasa likod ng pagsasamantala ngunit idinagdag na maraming mga gumagamit ang "natutuwa lang na ibalik ang kanilang mga ninakaw na NFT." Ang buod ng sitwasyon ng post mortem ng kumpanya ay nagtatapos sa pamamagitan ng pagdaragdag na ang malalaking pagkalugi ay maaaring mangyari sa pamamagitan lamang ng pagsasamantala sa isang linya ng code. Buong pusong naniniwala ang kompanya na ang on-chain monitoring ng mga partikular na protocol ng blockchain at pre-deployment audit ay makakatulong na pigilan ang mga kahinaan sa hinaharap.

"Muling itinatampok ng hack na ito ang milyong dolyar na mga epekto na maaaring magkaroon ng isang linya ng code," pagtatapos ng ulat ni Certik. "Ang isang masusing pre-deployment audit na ipinares sa patuloy na on-chain analysis ay ang pinakamahusay na paraan para ipakita ng mga proyekto sa Web3 ang kanilang pangako sa seguridad at tiyakin sa kanilang mga customer na ligtas ang kanilang mga pondo."

Mga tag sa kwentong ito

100 NFT, Arbitrum, Arbitrum Chain, attacker, Blockchain security, bug Treasure DAO, certik, Certik analysis, Certik post mortem, Certik Security, Hack, Hacker, John Patten, MAGIC, Magic token, nft, NFT hack, NFT Market, NFT marketplace, NFTs, Treasure DAO, Treasure DAO bug, Treasure DAO exploit, Treasure DAO hack, Web3 projects

Ano ang palagay mo tungkol sa Treasure DAO hack at ulat ng post mortem ng Certik? Ipaalam sa amin kung ano ang iyong iniisip tungkol sa paksang ito sa seksyon ng mga komento sa ibaba.

Jamie Redman

Si Jamie Redman ang News Lead sa Bitcoin.com News at isang financial tech na mamamahayag na naninirahan sa Florida. Si Redman ay isang aktibong miyembro ng komunidad ng cryptocurrency mula noong 2011. Siya ay may hilig sa Bitcoin, open-source code, at mga desentralisadong aplikasyon. Mula noong Setyembre 2015, ang Redman ay nagsulat ng higit sa 5,000 mga artikulo para sa Bitcoin.com Balita tungkol sa mga nakakagambalang protocol na umuusbong ngayon.