Contrato inteligente? Exchange descentralizada Bancor descobre vulnerabilidade crítica em sua plataforma

A exchange descentralizada Bancor lançou um contrato inteligente com uma vulnerabilidade crítica e agora está se hackeando para minimizar ataques de usuários mal-intencionados.

A versão mais recente da exchange descentralizada Bancor parece estar vulnerável a um bug muito sério que pode resultar em uma perda significativa de fundos dos usuários.

De acordo com o tweet publicado pela Bancor em 18 de junho, a vulnerabilidade afeta a versão mais recente do contrato inteligente da BancorNetwork, lançado em 16 de junho.

Os usuários que negociaram na Bancor e deram uma aprovação de retirada ao seu contrato inteligente são instados a revogá-lo através de um site especializado, approved.zone.

A equipe revelou que, depois de descobrir a vulnerabilidade, eles “atacaram o contrato” para migrar fundos em risco para um local seguro. Presumivelmente, a equipe usou a vulnerabilidade mencionada para fazer isso, o que significa que um invasor pode ter drenado uma parte significativa dos fundos dos usuários.

A Hex Capital twittou que o problema resultou da possibilidade de chamar um “safeTransferFrom” sem a devida autorização. Essa função é um dos elementos principais do contrato ERC-20, pois permite que um contrato inteligente retire uma certa permissão sem exigir a interação do usuário.

A Hex Capital especulou que a equipe estava “muito atrasada em muitos casos” para salvar os fundos. No entanto, de acordo com uma investigação da equipe 1inch.exchange, isso é o principal culpado.

Front-runners “roubam” parte do dinheiro

A equipe 1inch.exchange encontrou pelo menos dois Front-runners conhecidos publicamente que começaram a copiar as transações da equipe da Bancor assim que começaram. Os Front-runners foram criados para aproveitar as oportunidades de arbitragem e “não foram capazes de distinguir oportunidade de arbitragem de hackers”, escreveu a equipe.

No entanto, todos os candidatos que entraram na lista listaram publicamente informações de contato, o que significa que estariam dispostos a devolver o dinheiro. Um dos Front-runners já se comprometeu a devolver o dinheiro. A parte que foi para os primeiros colocados é significativa, com a equipe da 1inch escrevendo:

“A equipe da Bancor resgatou US$ 409.656 no total e gastou 3,94 ETH em taxas, enquanto os Front-runners automáticos capturaram US$ 135.229 e gastaram 1,92 ETH em taxas. Os usuários foram afetados em US$ 544.885 no total.”

As auditorias não ajudaram

Em resposta ao incidente, alguns membros da comunidade começaram a questionar se a Bancor conduzia auditorias nos novos contratos inteligentes. No anúncio da nova versão 0.6, a Bancor observou que “uma auditoria de segurança estava em andamento”.

Embora não houvesse mais informações disponíveis, o pesquisador anônimo Frank Topbottom relatou uma descoberta em seu repositório GitHub, que mencionava uma auditoria de segurança da Kanso Labs. A empresa parece estar sediada em Tel Aviv, onde a maioria da equipe da Bancor também está localizada.

A equipe da Bancor disse ao Cointelegraph que a vulnerabilidade foi descoberta por um desenvolvedor terceirizado logo após o lançamento, semelhante à maneira como funcionaria com recompensas por bugs.

Como o Cointelegraph relatou anteriormente, as auditorias raramente são suficientes para garantir a segurança.

Leia mais:

Você pode gostar...