El 5 de noviembre, se reportó que el protocolo bZX fue hackeado. El atacante drenó tokens de los contratos inteligentes afectados. Tras el análisis inicial de las transacciones del ataque, sospechamos que se debe a la clave privada comprometida del desarrollador.
Proceso del ataque
El proceso es bastante simple. La función privilegiada transferOwnership es invocada para transferir la propiedad del contrato inteligente afectado a uno nuevo, por ejemplo, 0x0acc0e5faa09cb1976237c3a9af3d3d4b2f35fa5. Luego, el nuevo propietario del contrato puede transferir todos los tokens que han sido aprobados para el contrato inteligente a direcciones arbitrarias.
Nótese que la función privilegiada transferOwnership solo puede ser invocada por el propietario actual del contrato inteligente. De hecho, encontramos que el llamador de esta función es 0xb7f72028d9b502dc871c444363a7ac5a52546608, que es el creador del contrato afectado.
No conocemos la razón exacta por la que el creador del contrato transfiere la propiedad a otras direcciones. Sin embargo, sospechamos que se debe a la clave privada del desarrollador comprometida (o filtrada).
Conclusión
En resumen, la seguridad de la clave privada de las DApps es esencial para la seguridad de la aplicación, especialmente para aquellas que no utilizan DAO. Sugerimos que el propietario del proyecto pueda utilizar algunas técnicas nuevas como la computación confidencial y MPC para proteger la clave privada.
Acerca de BlockSec
BlockSec es una empresa pionera en seguridad blockchain establecida en 2021 por un grupo de expertos en seguridad de renombre mundial. La empresa está comprometida con mejorar la seguridad y la usabilidad para el emergente mundo Web3 con el fin de facilitar su adopción masiva. Con este objetivo, BlockSec ofrece servicios de auditoría de seguridad de contratos inteligentes y cadenas EVM, la plataforma Phalcon para el desarrollo de seguridad y el bloqueo proactivo de amenazas, la plataforma MetaSleuth para el seguimiento e investigación de fondos, y la extensión MetaSuites para que los desarrolladores de web3 naveguen eficientemente en el mundo cripto.
Hasta la fecha, la empresa ha atendido a más de 300 distinguidos clientes como MetaMask, Uniswap Foundation, Compound, Forta y PancakeSwap, y ha recibido decenas de millones de dólares estadounidenses en dos rondas de financiación de inversores prominentes, entre ellos Matrix Partners, Vitalbridge Capital y Fenbushi Capital.
Sitio web oficial: https://blocksec.com/
Cuenta oficial de Twitter: https://twitter.com/BlockSecTeam
