5 ноября поступило сообщение о взломе протокола bZX. Злоумышленник вывел токены из затронутых смарт-контрактов. После первичного анализа транзакций атаки мы предполагаем, что это произошло из-за компрометации закрытого ключа разработчика.
Процесс атаки
Процесс достаточно прост. Привилегированная функция transferOwnership вызывается для передачи права владения затронутым смарт-контрактом новому адресу, например, 0x0acc0e5faa09cb1976237c3a9af3d3d4b2f35fa5. Затем новый владелец контракта может перевести все токены, которые были одобрены для смарт-контракта, на произвольные адреса.
Обратите внимание, что привилегированная функция transferOwnership может быть вызвана только текущим владельцем смарт-контракта. Действительно, мы обнаружили, что вызывающим абонентом этой функции является 0xb7f72028d9b502dc871c444363a7ac5a52546608, который является создателем затронутого смарт-контракта.
Мы не знаем точной причины, по которой создатель контракта передал право владения другим адресам. Однако мы подозреваем, что это произошло из-за компрометации (или утечки) закрытого ключа разработчика.
Вывод
В конечном итоге, безопасность закрытого ключа DApps имеет важное значение для безопасности приложения, особенно для тех, которые не используют DAO. Мы предлагаем владельцам проектов использовать новые методы, такие как конфиденциальные вычисления и MPC, для защиты закрытого ключа.
О компании BlockSec
BlockSec — это передовая компания в области безопасности блокчейна, основанная в 2021 году группой всемирно известных экспертов по безопасности. Компания стремится повысить безопасность и удобство использования для развивающегося мира Web3, чтобы способствовать его массовому внедрению. С этой целью BlockSec предоставляет услуги по аудиту безопасности смарт-контрактов и EVM-цепей, платформу Phalcon для разработки систем безопасности и проактивного блокирования угроз, платформу MetaSleuth для отслеживания и расследования движения средств, а также расширение MetaSuites для эффективной работы Web3-разработчиков в криптомире.
На сегодняшний день компания обслужила более 300 уважаемых клиентов, таких как MetaMask, Uniswap Foundation, Compound, Forta и PancakeSwap, и получила десятки миллионов долларов США в ходе двух раундов финансирования от выдающихся инвесторов, включая Matrix Partners, Vitalbridge Capital и Fenbushi Capital.
Официальный сайт: https://blocksec.com/
Официальный аккаунт в Twitter: https://twitter.com/BlockSecTeam
