17.01.2024 09:53

Socket заявили про злом протоколу Bungee, внаслідок якого було викрадено понад $3,3 млн

Протокол інтероперабельності Socket призупинив дію відповідних контрактів після того, як стало відомо, що агрегатор Bungee постраждав від злому. Зловмисник скористався помилкою в коді, щоб викрасти кошти з користувачів, які мали надмірно схвалені контракти Socket.

Urgent

Socket has experienced a security incident which affected wallets with infinite approvals to Socket contracts.

We have identified the issue & have paused the affected contracts.

We’re working on the situation & will keep you informed with regular updates & next steps.
— Socket (@SocketDotTech) January 16, 2024

Інцидент був помічений анонімним дослідником під ніком Spreek. Він повідомив про проблему команді Socket, яка негайно призупинила дію контрактів.

attacker address 0x50df5a2217588772471b84adbbe4194a2ed39066
— Spreek (@spreekaway) January 16, 2024

PeckShield, компанія з безпеки блокчейну, підтвердила, що зловмисник викрав щонайменше 3,3 мільйона доларів.

Today's hack on @SocketDotTech results in the loss of >$3.3m.

The bad route exploited in the hack was added 3 days ago and is now disabled. Here are related txs:
– add route tx: https://t.co/lxw7iA1kn4
– disable route tx:https://t.co/QMHfI4YeuU

The hack is due to… https://t.co/QdBBgVF287 pic.twitter.com/yNxF5vCwax
— PeckShield Inc. (@peckshield) January 16, 2024

Зловмисник скористався помилкою в коді, яка дозволяла йому знімати кошти з користувачів, які схвалили контракт Socket на суму, більшу, ніж необхідна для конкретної транзакції. Наприклад, якщо користувач схвалив контракт на переказ 1000 доларів, але фактично переказав лише 500 доларів, зловмисник міг викрасти решту 500 доларів.

Socket заявив, що працює над розв’язанням проблеми та надаватиме регулярні оновлення.

Нагадаємо, 14 січня 2024 року зловмисник спробував використати функцію часткових платежів XRP для злому криптобірж Bitfinex і Binance.