Ang isang non-fungible token market platform na binuo sa ibabaw ng Arbitrum na tinatawag na Treasure DAO ay na-hack noong Marso 3 sa 7:33 am (EST), ayon sa isang pagsusuri sa post mortem na inakda ng kumpanyang nakatuon sa seguridad na Certik. Ang ulat ng kumpanya ay nagsasaad na "mahigit 100 NFT ang ninakaw sa pag-atake," habang ang umaatake ay gumagamit ng isang kahinaan sa function na "buyer buyer item" ng marketplace.
Pagsusuri sa Post Mortem ng Certik Ipinapakita ang Arbitrum NFT Trading Platform Treasure DAO na Pinagsasamantalahan para sa Higit sa 100 NFT
Ang nangungunang Arbitrum NFT marketplace na Treasure DAO ay inatake noong Huwebes matapos matuklasan ng isang attacker ang pagsasamantala na nagresulta sa pagkawala ng "mahigit 100 NFT mula sa mga hindi pinaghihinalaang user." Ang pagsusuri sa post mortem ng pag-atake ay ipinadala sa Bitcoin.com News mula sa blockchain security firm na Certik, isang kumpanyang nagsusuri, sumusubaybay, at nagsusuri ng mga smart contract, blockchain tech, at decentralized finance (defi) na mga protocol.
"Ang Treasure DAO, isang NFT trading platform sa Arbitrum, ay pinagsamantalahan ng isang hindi kilalang umaatake na sinamantala ang isang depekto sa code ng platform," mga detalye ng pagsusuri ni Certik. "Ang pagsasamantala ay nagresulta sa pagkawala ng higit sa 100 NFT mula sa mga hindi pinaghihinalaang gumagamit. Pagkatapos ng ilang paunang pagsusuri at pagsubaybay sa wallet ng hacker sa Twitter, maraming mga ninakaw na NFT ang naibalik."
Bilang karagdagan, ang pagsusuri ng Certik sa sitwasyon ng Treasure DAO ay nagsasaad na ang katutubong token ng protocol na MAGIC ay nagbuhos ng higit sa 40% sa mga pagkalugi laban sa dolyar ng US. Ang co-founder ng Treasure DAO na si John Patten din tweeted tungkol sa kaganapan pagkatapos na nakawin ng umaatake ang mga pondo. “Treasure marketplace ay pinagsasamantalahan. Paki-delist ang iyong mga item. Sasagutin namin ang mga gastos sa pagsasamantala—personal kong ibibigay ang lahat ng aking mga Smol para ayusin ito,” sabi ni Patten. Idinagdag ng Treasure DAO co-founder:
Hindi ko maarok kung ano ang target ng subhuman sa isang patas na paglulunsad ng marketplace para sa pagnanakaw, ngunit hindi nila matatalo ang komunidad.
Sinabi ni Certik na Maaaring Pigilan ng Patuloy na On-Chain Analysis at Pre-Deployment Audits ang Mga Pagsasamantala sa Blockchain Protocol sa Hinaharap
Sinasabi ng mga analyst ng seguridad ng Certik na walang nakakaalam kung sino ang nasa likod ng pagsasamantala ngunit idinagdag na maraming mga gumagamit ang "natutuwa lang na ibalik ang kanilang mga ninakaw na NFT." Ang buod ng sitwasyon ng post mortem ng kumpanya ay nagtatapos sa pamamagitan ng pagdaragdag na ang malalaking pagkalugi ay maaaring mangyari sa pamamagitan lamang ng pagsasamantala sa isang linya ng code. Buong pusong naniniwala ang kompanya na ang on-chain monitoring ng mga partikular na protocol ng blockchain at pre-deployment audit ay makakatulong na pigilan ang mga kahinaan sa hinaharap.
"Muling itinatampok ng hack na ito ang milyong dolyar na mga epekto na maaaring magkaroon ng isang linya ng code," pagtatapos ng ulat ni Certik. "Ang isang masusing pre-deployment audit na ipinares sa patuloy na on-chain analysis ay ang pinakamahusay na paraan para ipakita ng mga proyekto sa Web3 ang kanilang pangako sa seguridad at tiyakin sa kanilang mga customer na ligtas ang kanilang mga pondo."
Ano ang palagay mo tungkol sa Treasure DAO hack at ulat ng post mortem ng Certik? Ipaalam sa amin kung ano ang iyong iniisip tungkol sa paksang ito sa seksyon ng mga komento sa ibaba.
Mga Credits ng Larawan: Shutterstock, pixel, Wiki Commons
Pagtanggi sa pananagutan: Ang artikulong ito ay para sa mga layuning pang-impormasyon lamang. Ito ay hindi isang direktang alok o paghingi ng isang alok upang bumili o magbenta, o isang rekomendasyon o pag-eendorso ng anumang mga produkto, serbisyo, o kumpanya. Hindi nagbibigay ang Bitcoin.com ng payo sa pamumuhunan, buwis, ligal, o accounting. Hindi man ang kumpanya o ang may-akda ay may pananagutan, nang direkta o hindi direkta, para sa anumang pinsala o pagkawala na sanhi o di umano’y sanhi ng o kaugnay sa paggamit ng o pag-asa sa anumang nilalaman, kalakal o serbisyo na nabanggit sa artikulong ito.
Pinagmulan: https://news.bitcoin.com/attacker-hacks-arbitrums-treasure-dao-for-over-100-nfts-by-leveraging-marketplace-exploit/