Isang user ang nagpunta sa Twitter upang ibalita na nagkaroon ng pag-atake sa Arbitrum USDs kung saan ang isang bug sa mga user na awtomatikong nagbabago ay humantong sa pag-hack. Ayon sa isa sa mga tweet sa serye, binago ng kalahati ng code ang account sa isang bagong istilo, gamit ang pagbabagong iyon upang kalkulahin ang kalahati ng paglipat.
Nagsimula ang pagsasamantala sa unang pagpapadala ng pera ng user sa isang EOA address. Ito ay higit na nag-trigger sa paglipat ng USDs accounting, na nagkaroon ng bug noong ang accounting ay mayroon nang pondo.
Ang bug ay mahirap subaybayan; gayunpaman, ibinahagi ng user na nagbalita sa kung paano nila ito ginawa. Sa isa pang tweet sa serye, ginamit ng user ang binary search sa mga balanse ng account para malaman kung aling block ang may problema. Ang contract bytecode ay pagkatapos ay na-decompiled, at pagkatapos ay ginamit ang storage reads & writes upang masubaybayan ang panloob na daloy ng pagpapatupad.
Ang isa pang user ay nagbigay ng higit pang mga detalye, na nag-aabiso sa komunidad na ang pag-hack ng SperaxUSD ay tila nagdulot ng pagkawala ng $250,000 mula sa network. Nagawa ng attacker na palakihin ang supply ng mga USD nang hindi nag-iiwan ng anumang transfer log, na hindi nagpapaalam sa sinuman kung gaano kahalaga ang mga token na ginawa o inilipat.
Sa partikular, sinamantala ng user na gumawa ng aksyon ang isang bug sa rebasing code. Ito ay halos sa paraang nararapat. Sinamantala ng hacker ang kapintasan sa network upang hindi mag-iwan ng anumang ebidensya ng malisyosong pag-upgrade ng matalinong kontrata ng SperaxUSD.
Habang ang koponan sa likod ng komunidad ay hindi pa tumutugon sa alalahanin, maaari itong ma-verify sa pamamagitan ng mga on-chain na talaan na nakuha ng hacker ang $250,000 na halaga ng mga stablecoin. Na-pause ng Sperax ang system sa ngayon upang maiwasan ang anumang karagdagang pinsala. Kung ang pag-atake ay napansin noon, ang system ay maaaring na-pause nang mas maaga upang i-save ang pinsala. Gayunpaman, ang mga hakbang ay ginawa upang mabawasan ang anumang pagkawala na maaaring mangyari sa hinaharap.
Natukoy ng pangkat ng Sperax ang address bilang kochironnosaif.eth, na binanggit ang parehong sa Twitter kahit na ito ay ginawa ng gumagamit, na nagbahagi din ng isang screenshot upang ipakita na ang umaatake ay may bahagyang higit sa 23.5 ETH na nagkakahalaga ng $38,859.
Ang mga USD ay ganap na sinusuportahan ng magkakaibang portfolio ng mga stablecoin tulad ng Tether at USD Coins. Ang koponan ay hindi lamang titigil sa pagbuo ng ecosystem pagkatapos ng insidente.
Mahalagang tandaan na ang SperaxUSD ay kasalukuyang nakatayo sa isang market capitalization na $22.04 milyon, ayon sa CoinMarketCap. Ang bawat token ay nakita noon na nagpapalit ng mga kamay sa rate na $0.99, isang pagbaba ng 1.12% sa huling 24 na oras. Ngayong lumabas na ang balita sa internet, mas malamang na magbago ang mga numero maliban kung direktang tinutugunan ng koponan ng Sperax ang alalahanin.
Ang isang pahayag sa kung paano ito nagpaplano upang maiwasan ang mga pag-atake sa hinaharap tulad ng mga ito ay tiyak na magiging isang mahabang paraan.
Pinagmulan: https://www.cryptonewsz.com/reports-of-speraxusd-exploitation-emerge/