BlockSec предотвратила атаку на NFT-проект ParaSpace
Эксперты BlockSec обнаружили уязвимость в лендинговом NFT-протоколе ParaSpace. Баг угрожал потерей 2900 ETH и неназванного количества токенов коллекции BAYC.
1/ There is a flawed logic in borrow() of the ParaProxy contract (0x638a) of @ParaSpace_NFT . The attacker can borrow more tokens as his scaledBalance will be enlarged by depositing into the position of the proxy (0xC5c9), i.e., specifying the _recipient of depositApeCoin(). https://t.co/Z4e1QOpLg3 pic.twitter.com/fkd96nAPHb
— BlockSec (@BlockSecTeam) March 17, 2023
Специалисты обнаружили, что потенциальному злоумышленнику достаточно сделать шесть шагов, чтобы заимствовать необеспеченные средства.
2/ Specifically, the scaledBalance is calculated with the following formula: sharesAmount.mul(_getTotalPooledApeBalance()).div(totalShares), while _getTotalPooledApeBalance() could be manipulated.
— BlockSec (@BlockSecTeam) March 17, 2023
In total, there are 6 key attack steps. pic.twitter.com/kvEpHqPNP5
Команда ParaSpace заявила, что обнаружила подозрительную активность и заблокировала работу протокола.
We noticed a suspicious transaction, and as a security measure, we have paused the entire ParaSpace protocol.
— ParaSpace (@ParaSpace_NFT) March 17, 2023
Currently, no transactions (withdrawals, deposits, liquidations) can take place with our contracts.
We are currently investigating and will provide you with an update… https://t.co/3vrIciVF5C
Результаты расследования инцидента разработчики опубликуют позднее.
«Можем подтвердить, что все переданные в протокол NFT в безопасности и не подверглись ликвидации», — заверила команда.
We can confirm that all NFTs supplied to the protocol are safe and have not been liquidated.
— ParaSpace (@ParaSpace_NFT) March 17, 2023
BAYC:
NFT Staking Pool: https://t.co/yg0ZalDK3n
P2P Contract: https://t.co/Xvh8ndYofn
MAYC:
NFT Staking Pool: https://t.co/HKjZoUr2Nc
P2P Contract: https://t.co/AvAhjgOrQG… https://t.co/1nj1B9B2Nk
Напомним, в 2022 году Web3-индустрия потеряла в результате взломов около $3,6 млрд. Это почти на 50% больше, чем годом ранее, подсчитали эксперты Beosin.
Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!