Deus DAO - R3KT

Deus DAO hat-trick yaptı.

Token sahipleri, Arbitrum, BSC ve Etherum'da toplamda yaklaşık 6,5 milyon dolar kaybetti ve DEI stablecoin'i %80'in üzerinde düşerek sabitini kaybetti

Bu olay, en son sahneye çıkmalarının üzerinden bir yılı aşkın bir süre geçen Deus DAO'yu lider tablomuza üç farklı girişe sahip üçüncü protokol yapıyor.

Deus'un önceki iki girişi, etkilenmemiş gibi göründükleri projenin orijinal evi olan FTM üzerindendi. O zamandan beri DEI, işleri genişletip diğer zincirlere de yayıldı.

Alarm verildikten ve temel neden belirlendikten sonra, Deus hack'i kabul etti ve beyaz şapkalıların fonları iade etmesi için bir multisig adresini onayladı.

İyi de üç kez saldırıya uğramış bir protokole dördüncü kez güvenilebilir mi?

Kaynak: _adamb, Zellic, 0xProtosec

Geçen ay yapılan bir upgrade ile DEI token kontratına basit bir uygulama hatası getirildi. "_allowances" parametreleri "msgSender" ve "account" kontrata yanlış sırada yazıldığından burnFrom fonksiyonu yanlış yapılandırılmış oldu.

Bu, bir saldırganın daha sonra DEI sahiplerinin harcama onaylarını manipüle edip kontrolünü ele geçirebileceği ve varlıkları doğrudan kendi adresine aktarabileceği, herkese açık (veya Peckshield'e göre başka yerlere de -pubic- açık) bir yakma güvenlik açığı oluşturdu.

Yanlış sıralanmış parametreler, saldırganın herhangi bir DEI sahibinin adresi için büyük oranda token harcama onayı belirlemesine olanak tanır. Ardından, adresten 0 token yakılarak, sahibinin fonlarını tüketebilecek olan saldırganın adresine onay güncellenir.

Saldırı adımları aşağıdaki gibidir:

büyük miktarda DEI içeren bir adres belirlenir

bu adrese onay verilir

amount = 0 ve bu adres ile burnFrom çağırılır

burnFrom sırasında, adresten kendi adresinize tüm tokenları onaylar.

transferFrom çağrılır

Saldırganın adresi (Arbitrum): 0x189cf534de3097c08b6beaf6eb2b9179dab122d1

Saldırı işlemi (Arbitrum): 0xb1141785…

Frontrunner adresi (BSC): 0x5a647e376d3835b8f941c143af3eb3ddf286c474

Saldırı işlemi (BSC): 0xde2c8718…

Saldırganın adresi (Ethereum): 0x189cf534de3097c08b6beaf6eb2b9179dab122d1

Saldırı işlemi (Ethereum): 0x6129dd42…

BlockSec'ten MetaSleuth'a göre, kayıplar Arbitrum'da yaklaşık 5 milyon dolar, BSC'de 1.3 milyon dolar ve Ethereum'da 135 bin dolardı.

Şans eseri, BSC'deki istismar başkalarının yaptığı frontrundı ve Deus Deployer'a zincir üstü gönderilen bir mesaj, fonları iade etme niyetini gösteriyor. Diğer beyaz şapkalılar da harekete geçti ve şimdiye kadar 600.000 doların üzerinde USDC bir recovery multisig'ine iade edildi.

Bununla birlikte, böylesine basit bir hata üreten bir ekibe fonları teslim etmenin ne derece doğru olduğu konusunda da şüpheler var.

Kurtarılan fonları üç kez saldırıya uğramış devamlı aynı naneyi yiyen bir protokole iade etmek oldukça faydasız ve anlamsız görünüyor…

Resmi bir güncelleme, istismarda para kaybeden kullanıcılar için bir kurtarma planından ve Deus’un, zincirüstünden saldırgana ulaştığından bahsetmekte.

Ancak hesabın başlangıçta BSC'de Tornado Cash aracılığıyla finanse edildiği düşünülürse, durum pek de umutlu görünmüyor.

Bakalım bu Deus DAO için öldürücü darbe ile oyunun sonu mu olacak?

REKT, anonim yazarlar için halka açık bir platform olarak hizmet eder, REKT'te bulunan görüşler veya içerik için hiçbir sorumluluk kabul etmiyoruz.

bağış yap (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

sorumluluk reddi:

REKT, Web Sitemizde veya hizmetlerimizle bağlantılı olarak web sitemizin ANON yazarı veya REKT tarafından gönderilen, yayınlanan veya neden olunan hiçbir içerikten hiçbir şekilde sorumlu veya yükümlü değildir. Anon yazarın davranışları ve gönderileri için kurallar sağlamamıza rağmen, onun web sitemizde veya hizmetlerimizde yayınladığı, ilettiği veya paylaştığı şeylerden sorumlu değiliz veya web sitemizde ve hizmetlerimizde karşılaşabileceğiniz herhangi bir saldırgan, uygunsuz, müstehcen, yasa dışı veya başka şekilde sakıncalı olan içerikten sorumlu değiliz. REKT, Web Sitemizin veya Hizmetlerimizin herhangi bir kullanıcısının çevrimiçi veya çevrimdışı davranışlarından sorumlu değildir.