Он-чейн орталықтандырылмаған биржа (DEX) агрегаторы SwapNet ірі смарт келісімшарт осалдығына ұшырап, шамамен 16,8 млн доллар көлеміндегі крипто активтерінен айырылды.
Оқиға орталықтандырылмаған қаржы (DeFi) саласындағы токенге рұқсат беру және үшінші тарап бағыттаушы келісімшарттармен байланысты үздіксіз қауіпсіздік тәуекелдерін айқындады.
Он-чейн DEX агрегаторы SwapNet 16,8 млн доллар көлемінде эксплойтқа ұшырады
PeckShield шабуылдаушы SwapNet-пен байланысты әрекеттерді нысанаға алғанын хабарлады, ол 0x командасы жасаған meta DEX агрегаторы Matcha Meta арқылы қолжетімді болған.
Base желісінде шабуылдаушы шамамен 10,5 млн доллар көлеміндегі USDC-ді 3 655 ETH-ке айырбастап, қаражатты Ethereum-ға көпірлеу арқылы, іздеу мен қайтаруды күрделендіретін кеңінен тараған әдісті қолданды.
Matcha Meta инцидент өзінің негізгі инфрақұрылымынан туындамағанын нақтылай отырып, тек 0x-тің One-Time Approval жүйесінен бас тартқан пайдаланушылар осы қауіп-қатерге ұшырағанын мәлімдеді. Бұл функция тұрақты рұқсаттарды шектеу мақсатында жасалған қауіпсіздік тетігі болған.
Аталған опцияны өшірген пайдаланушылар, оның ішінде SwapNet роутерін қоса, агрегатор келісімшарттарына тікелей рұқсат бергендіктен, ақыр соңында олар шабуылдаушыларға жол ашты.
«One-Time Approval функциясын өшірген пайдаланушыларға қатысты, Matcha Meta платформасында SwapNet байланысты оқиғаны ескердік», — деп Matcha Meta мәлімдеді.
Платформа SwapNet командасымен бірлесе жұмыс жүргізіп жатқанын және тексеру жалғасып жатқанда зардап шеккен келісімшарттарды уақытша өшіргенін растады.
Сақтық үшін Matcha Meta пайдаланушыларға 0x One-Time Approval жүйесінен тыс жеке агрегаторлар рұқсаттарын дереу қайтарып алуға кеңес берді.
Платформа SwapNet-тің роутер келісімшартына (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) ерекше назар аудартып, осы рұқсатты қайтарып алу аса шұғыл шара екенін ескертті. Мұны жасамау әмияндарды шабуыл жойылған соң да осалды күйде қалдыру ықтимал.
DeFi қауіпсіздігіне қатысты шешімдер: смарт келісімшарттарды жиі қанау жағдайында ыңғайлылық пен қауіпсіздік арақатынасы
Оқиға DeFi саласында қолайлылық пен қауіпсіздік арасындағы тұрақты таңдау мәселесін көрсетіп отыр. One-Time Approval функциясын қолдану әрбір транзакцияға жеке-жеке рұқсат беруді талап еткенімен, тұрақты қауіп-қатер аймағын азайтады. Дегенмен бұл жиі сауда жасайтын трейдерлерге қосымша қиындықтар тудырады.
Шексіз рұқсаттар жылдамырақ болғанмен, смарт келісімшарттарға пайдаланушы қаражатына тұрақты қолжетімділік береді. Егер мұндай келісімшарттарға шабуыл жасалса, жағдай өте қауіпті болады.
SwapNet әзірге толық техникалық сараптаманы жариялаған жоқ әрі зардап шеккен пайдаланушыларға өтемақы төленетіні жөнінде ресми мәлімет берген жоқ. Сондықтан жауапкершілік пен шығындарды қалпына келтіру мәселелері ашық күйінде қалып отыр.
Жағдайға қатысты нақты және жедел түсініктемелердің жоқтығы DeFi экожүйесінде рұқсат беру және агрегаторларды біріктіру тәжірибесін бұдан да мұқият бақылауға алып келеді деп күтілуде.
Тағы бір Ethereum эксплойты расталмаған, жабық кодты келісімшарттардың қауіптілігін көрсетіп отыр
Алайда бұл шабуыл смарт келісімшарттарға бағытталған кең ауқымды шабуылдар және крипто нарығындағы қауіпсіздік оқиғалары фонеcнда орын алып отыр.
Дәл сол күні қауіпсіздік аудитор Пашов Ethereum негізгі желісінде шамамен 37 WBTC-ке, яғни 3,1 млн доллардан астам қаржыға қатысты жеке шабуылды анықтады.
Аталған оқиға 41 күн бұрын жарияланған жабық бастапқы және расталмаған келісімшартпен байланысты болған. Келісімшарт тек адам оқи алмайтын байткод түрінде жарияланып, көпшілікке шолу жасау мүмкіндігі болмаған.
Аталған оқиғалар DeFi жобаларында шабуылдаушылар үшін тиімді алаңдардың жетерлік екенін көрсетеді. Олар:
- расталмаған код
- үздіксіз рұқсаттар
- күрделі бағдарлау қабаттары.
Көпжылдық аудиттер мен қауіпсіздік шараларының жақсарғанына қарамастан, DeFi құрылымдық осалдықтармен күресті жалғастыруда. Мұндай жағдайларда әзірлеушілер мен пайдаланушылардың қолдану ыңғайлылығы мен тәуекелдерді басқару арасындағы тепе-теңдікті үнемі қадағалауы талап етіледі.
