Contrato inteligente? Exchange descentralizada Bancor descobre vulnerabilidade crítica em sua plataforma
A exchange descentralizada Bancor lançou um contrato inteligente com uma vulnerabilidade crítica e agora está se hackeando para minimizar ataques de usuários mal-intencionados.
A versão mais recente da exchange descentralizada Bancor parece estar vulnerável a um bug muito sério que pode resultar em uma perda significativa de fundos dos usuários.
De acordo com o tweet publicado pela Bancor em 18 de junho, a vulnerabilidade afeta a versão mais recente do contrato inteligente da BancorNetwork, lançado em 16 de junho.
Os usuários que negociaram na Bancor e deram uma aprovação de retirada ao seu contrato inteligente são instados a revogá-lo através de um site especializado, approved.zone.
A equipe revelou que, depois de descobrir a vulnerabilidade, eles “atacaram o contrato” para migrar fundos em risco para um local seguro. Presumivelmente, a equipe usou a vulnerabilidade mencionada para fazer isso, o que significa que um invasor pode ter drenado uma parte significativa dos fundos dos usuários.
A Hex Capital twittou que o problema resultou da possibilidade de chamar um “safeTransferFrom” sem a devida autorização. Essa função é um dos elementos principais do contrato ERC-20, pois permite que um contrato inteligente retire uma certa permissão sem exigir a interação do usuário.
A Hex Capital especulou que a equipe estava “muito atrasada em muitos casos” para salvar os fundos. No entanto, de acordo com uma investigação da equipe 1inch.exchange, isso é o principal culpado.
Front-runners “roubam” parte do dinheiro
A equipe 1inch.exchange encontrou pelo menos dois Front-runners conhecidos publicamente que começaram a copiar as transações da equipe da Bancor assim que começaram. Os Front-runners foram criados para aproveitar as oportunidades de arbitragem e “não foram capazes de distinguir oportunidade de arbitragem de hackers”, escreveu a equipe.
No entanto, todos os candidatos que entraram na lista listaram publicamente informações de contato, o que significa que estariam dispostos a devolver o dinheiro. Um dos Front-runners já se comprometeu a devolver o dinheiro. A parte que foi para os primeiros colocados é significativa, com a equipe da 1inch escrevendo:
“A equipe da Bancor resgatou US$ 409.656 no total e gastou 3,94 ETH em taxas, enquanto os Front-runners automáticos capturaram US$ 135.229 e gastaram 1,92 ETH em taxas. Os usuários foram afetados em US$ 544.885 no total.”
As auditorias não ajudaram
Em resposta ao incidente, alguns membros da comunidade começaram a questionar se a Bancor conduzia auditorias nos novos contratos inteligentes. No anúncio da nova versão 0.6, a Bancor observou que “uma auditoria de segurança estava em andamento”.
Embora não houvesse mais informações disponíveis, o pesquisador anônimo Frank Topbottom relatou uma descoberta em seu repositório GitHub, que mencionava uma auditoria de segurança da Kanso Labs. A empresa parece estar sediada em Tel Aviv, onde a maioria da equipe da Bancor também está localizada.
A equipe da Bancor disse ao Cointelegraph que a vulnerabilidade foi descoberta por um desenvolvedor terceirizado logo após o lançamento, semelhante à maneira como funcionaria com recompensas por bugs.
Como o Cointelegraph relatou anteriormente, as auditorias raramente são suficientes para garantir a segurança.
Leia mais:
- Donald Trump disse ao secretário do Tesouro para ‘ir atrás do Bitcoin’
- BlackBerry fecha parceria com a Intel para lançar sistema de detecção de cryptojacking
- Suposto esquema Ponzi é suspeito pelos US$ 5 milhões pagos em taxas de transação no Ether
- Alfândega e Proteção de Fronteiras dos EUA vai testar sistema de rastreamento de remessa Blockchain
- Exchange de criptomoedas dos Emirados Árabes consegue primeiras licenças de autoridades regulatórias
- Ronnie Moas – Não um bilionário, mas um cripto guru
- Polícia indiana descobre esquema de criptomoedas envolvendo promotor da BitConnect
