黑客利用MonoX Finance智能合约软件的漏洞,抬高数字通的价格,套现。
区块链初创公司MonoX Finance周三表示,一名黑客利用该公司智能合约软件的一个漏洞,窃取了超过3000万美元。
该公司使用去中心化的MonoX金融协议,允许用户交易数字证书,交易门槛低于传统交易所。MonoX财务公司的代表在11月表示:“项目业主可以在不达到特定资本门槛的情况下获得上架证书。他们不需要为资金池提供流动性,而是可以专注于使用资金来建设项目。MonoX的工作原理是将存放的通用证书和vCASH稳定货币组合成虚拟对,形成单一货币资金池。”
MONOX Finance发表文章称,一名黑客利用该公司软件中的会计错误抬高了Mono Pass的价格,并通过MONO Pass套现了资金池中的所有其他Pass。按照以太坊或多边形区块链(两者都支持MonoX协议)上的pass价格,损失高达3000多万美元。
具体来说,黑客使用同一张卡作为买卖的卡,这种方法是用一张卡的价值换取另一张卡的价值。每次交换后,MonoX计算并更新两种通票的交换价格,用户出售的通票价格下降,而用户购买的通票价格上升。
由于购买通票的价格更新将覆盖出售通票的价格更新,黑客通过来回兑换同一张通票的方式大幅提高了MONO通票的价格,然后在以太坊和多边形区块链上用MONO通票换取价值超过3000万美元的其他通票。
其实同类证书之间的交换并没有什么实际意义,交易软件也不应该支持这种操作,但实际上——还是发生了,即使今年以来MonoX已经接受了多次安全审计。
智能合约的隐患
安全咨询公司Trail of Bits的首席执行官兼智能合约安全专家丹圭多(Dan Guido)表示:“针对智能合约的攻击很常见,许多开发人员没有花时间定义代码的安全属性。虽然有审计机制,但如果所谓的审计只是找个聪明人花点时间查查代码,有什么价值呢?您必须通过测试才能知道智能合约是否会准确地实现您的要求。换句话说,我们必须定义明确的安全属性,并采用相应的技术,以便评估智能合同的合规性。”
Guido还表示:“软件需要漏洞缓解措施,智能合约也不例外。所以需要主动去找漏洞,承认漏洞会导致不安全事件,然后建立监控体系。此外,应广泛使用软件验证技术来证明合同的正常运行。大多数智能合约都存在安全问题,因为开发人员只采用了漏洞缓解措施。虽然一些智能合同和协议非常大、复杂和有价值,但它们可以避免风险事件;相比之下,他们中的许多人刚刚被释放,并被恶意利用。”
区块链研究员Igor Igamberdiev在推特上解构了这起事件中被盗的通行证。其中涉及金额较高的通票有打包以太坊、MATIC通票和WBTC通票,涉及金额较低的通票有打包比特币、Chainlink、Unit Protocol、Aavegotchi和不可变x
黑客攻击在去中心化金融中并不是个例。
除了MonoX,许多去中心化的金融协议和机制都有漏洞。今年10月,黑客利用指数化金融流动性池再平衡机制的漏洞窃取了超过1500万美元。11月初,区块链分析公司Elliptic表示,去中心化金融协议的漏洞已导致今年前10个月超过100亿美元被盗,损失是2020年全年的7倍。
Elliptic的分析报告指出:“不成熟的底层技术给了黑客窃取用户资金的机会,而流动性池使犯罪分子能够洗去敲诈和欺诈的收益。利用去中心化技术的漏洞实施违法行为逐渐成为一种趋势,可以称之为去中心化犯罪。\”
根据MonoX Finance周三发表的一篇文章,h团队
通过以太坊主网上的交易发起消息,尝试与黑客对话。
暂停智能合约服务,通过补丁修复漏洞并严格测试修复结果。制定完善的补偿方案,经安全合作伙伴确认后恢复智能合约服务。
联系各大交易平台,尽可能监控并禁用与此次攻击相关的钱包地址。
与安全顾问合作定位黑客,降低未来风险。
对比该平台与龙卷风现金的关联交易。
搜索与去中心化应用的前端交互遗留的元数据。
根据关联方交易的交互筛选“可疑”的钱包地址,如攻击前已大量提取流动性的钱包地址。
持续监控被盗资金的动向。目前已有100批以太币转入龙卷风现金,其余未转出。
另外,我们会正式报案。
文章还透露,MonoX Finance购买的保险可以赔付100万美元的损失,公司正在“研究如何分配”。
来源:https://www . wired . com/story/hackers-drain-3100万-from-crypto-service/