Scallop’i rünnak kahjustas 150 000 SUI-d aegunud lepingu kaudu, kuna peidetud turvaaugus oli olnud 17 kuud

Scallop kinnitas sihtmärgitud rünnakut: umbes 150 000 SUI-tükki kaotati sSUI preemiapoolist.

Sui-põhine DeFi-protokoll Scallop kinnitas, et teda rünnati ja umbes 150 000 SUI-d võeti ära selle sSUI preemiapoolist, samal ajal kui avastati kümnendite vanune tõrge kasutuselt loobutud nutikas lepingus.

Protokolli ametliku avalduse kohaselt märkasid nad, et rünnaku teostaja muutis täielikult nende aktiivset koodibaasi ja standardseid SDK-liideseid. Asemel kasutas ta kasutuselt loobutud V2-versiooni, mis pärineb novembrist 2023 ja on ikka veel ahelas, kuid mida ei ole kuus aega kasutatud.

Selle täpsuse tase on pälvinud süsteemi piires olulise tähelepanu. See rünnak viitab kas sügavale pöördeinseneritööle või keegi, kes oli väga hästi kursis lepingu arhitektuuriga.

Kõige silmatorkavam on see, et tõrge jäi avastamata peaaegu 17 kuud, kuna süsteem liikus uute lepinguversioonide poole. Scallop teatas sündmusest Twitteris ja ütles, et kasutajad on hetkel turvalised, kuna rakendati kohe piiravaid meetmeid.

Defektse preemiaarvutusmehhanismi rünnak

Rünnak paljastab kriitilise puuduse kasutuselt loobutud lepingu preemiaarvutusloogikas. Kasutatakse nii nimetatud „spooli indeksit“, mis on pidevalt kasvav väärtus, mis esindab kogutud preemiaid selles poolis aeglaselt.

Tavalisel töörežiimil säilitab iga kasutaja konto oma panustamisel viimase indeksi (last_index). Preemiad arvutatakse indeksi ja salvestatud väärtuse vahe põhjal, nii et ükski kasutaja ei saa preemiaid enne oma panustamise alustamist.

Vana V2-versioonis aga ei initsialiseeritud uusi spooli kontosid kunagi; last_index oli alati null. See viga andis suure avause.

Pooli tühjenemine viis massilise punktide hüppamiseni

Selle tõrke tagajärjed olid kohe ja hukatuslikud. Spooli indeks oli tõusnud umbes 20 kuu jooksul peaaegu 1,19 miljardini. Rünnaku teostaja sai üleliialdatud 162 triljoni preemiapunkti, mis vastas 136 000 sSUI panustamisele.

Sellele lisandus veel see, et preemiapoolil oli 1:1 konversioonimäär, nii et iga preemiapunkt teisendati otse SUI-tükikeseks. See võimaldas rünnaku teostajal lihtsalt välja võtta kunstliku inflatsiooni teel saadud punktid reaalsete varadeks.

Rünnak viis preemiapooli tühjenemiseni, mis sisaldas sel ajal umbes 150 000 SUI-t. Kuigi rünnaku teostaja ratsionaliseeritud preemiad olid palju suuremad kui pooli saldo, võeti välja ainult olemasolev likviidsus.

Muutumatud lepingud loovad püsiva rünnakupinna

See sündmus illustreerib ühte süsteemset väljakutset, mis eksisteerib Sui-süsteemis deployitud pakettide puhul: deployitud paketid on muutumatud. Kui nutikas leping jõuab ahelasse, ei saa seda kustutada ega muuta. Kõik versioonid – nii minevikus kui ka praegus – jäävad igavesti kutsutavaks.

Scallop suunas kasutajad oma SDK kaudu uue, turvalisema paketini, kuid vana V2-leping oli ikka nähtav. Spooled ja RewardsPool objektid on jagatud, mistõttu suutis rünnaku teostaja täielikult üle hüpata värskendatud loogika, kuna neil pole versioonipiiranguid.

Seda tüüpi tõrget, mille klassifitseerimist on muudetud „vananenud paketi“ riskiks, tõstab esile olulise pimekoha paljude DeFi-süsteemide jaoks. Vananenud lepingud võivad olla püsivad rünnakuvektorid, kuna jagatud objektidesse ei ole sisseehitatud selgeid versioonikontrolle.

Laiemad mittepõhiline tõrke musterid käimas

Scallop’i rünnak on üks sündmus, mitte lõputu tulemus suuremast trendist, mis on kestnud kogu aprillis. Mitmed hiljutised rünnakud põhinesid mitte protokolli põhiloogikal, vaid perifeersetel või unustatud aspektidel. Näited on KelpDAO RPC-infrastruktuuri tõrked, Litecoin privaatsuskihi (MWEB) ja Aethiri adapterisüsteemide juurdepääsuprobleemid.

Kõigis juhtumites oli allikas väljaspool põhilepingut ning teistes sekundaarsetes või vananenud moodulites. Sellise musteriga kasutamine näitab, et vastased on muutnud oma taktikat. Hakkrid kulutavad vähem aega põhilepingutele, mida auditakse tihti, ja palju rohkem aega süsteemi äärtele, kus perimeetri jälgimine on väga nõrk. See nõuab arendajatel ja auditoritel paradigmamuutust. Ainult uute deploy’ide turvalisuse tagamine ei piisa – kõiki ajaloolisi lepinguid, integreerimispunkte ja infrastruktuurikomponente tuleb käsitleda aktiivse ohutusohuna.

Scallop’i täielik kompensatsioon ja süsteemi taastamine

Scallop reageeris rünnakule kiire ja kindel lähenemisviisiga. Rünnatud leping oli kohe pärast sündmust külmutatud, mis tähendab, et ainult üks preemiapool oli selle rünnakuga kompromisseeritud.

Grupp kinnitas, et põhilepingud on endiselt turvalised ja ükski kasutaja depositum ei ole kompromisseeritud. Teised poolid jäid puutumata ja protokolli peamised funktsioonid olid aktiivsed kohe pärast puutumata osade külmutuse tühistamist.

Oluliselt on Scallop lubanud kompenseerida 100% kaotusi, mis tulenevad sellest rünnakust. See lubadus näitab vastutustunnnet ebaootatavate turvaaugude parandamisel ja on suunatud kasutajate usalduse taastamisele.

Panustamine ja väljavõtmised on taas käimas, mis viitab süsteemi stabiilsuse taastumisele.

Õppetunnid DeFi turvalisuse maailmast

Scallop’i sündmus kehastab olulist õppetundi kogu DeFi-ekosüsteemile. Kui tegeledakse muutumatutes nutikates lepingutes, siis turvalisus ei ole kunagi „paigaldada ja unustada“-küsimus.

Teie deployitud lepingu iga versioon on osa elusüsteemist. Isegi mitteaktiivne kood võib kuud või aastad hiljem muutuda üheks purkumispunktiks, kui sobivad turvameetmed on lihtsalt ületatavad.

Tulevikus peab ekosüsteem adopteerima rangemaid versioonikontrolli tavasid, pidevat jälgimist vananenud lepingute üle ja laiendatud auditite ulatust, et hõlmata kõiki eelmisi deploy’misi. Nagu rünnak näitab, on rünnaku teostajad valmis sügavalt protokolli ajaloos süvenema, et leida nõrgad kohad, mida nad saavad ära kasutada.

Lõpuks muutub deentraliseeritud rahandus lihtsalt sama vastupidavaks kui need protokollid, mis suudavad kohaneda muutuva ohutusohu maastiku.

Teade: See ei ole kaubandus- ega investeerimissoovitus. Enne igasuguste krüptovaluutade ostmist või teenuste investeerimist tehke alati oma uurimistöö.

Jälgige meid Twitteris @themerklehash, et olla kursis viimaste Crypto-, NFT-, AI-, küberturvalisuse ja Metaverse-uudistega!

Postitus „Scallop’i rünnak tühjendas 150 000 SUI-t kasutuselt loobutud lepingu kaudu, kuna peidetud tõrge ootas 17 kuud“ ilmus esimesena The Merkle News.