BlockSec предотвратила атаку на NFT-проект ParaSpace

Эксперты BlockSec обнаружили уязвимость в лендинговом NFT-протоколе ParaSpace. Баг угрожал потерей 2900 ETH и неназванного количества токенов коллекции BAYC.

1/ There is a flawed logic in borrow() of the ParaProxy contract (0x638a) of @ParaSpace_NFT . The attacker can borrow more tokens as his scaledBalance will be enlarged by depositing into the position of the proxy (0xC5c9), i.e., specifying the _recipient of depositApeCoin(). https://t.co/Z4e1QOpLg3 pic.twitter.com/fkd96nAPHb

— BlockSec (@BlockSecTeam) March 17, 2023

Специалисты обнаружили, что потенциальному злоумышленнику достаточно сделать шесть шагов, чтобы заимствовать необеспеченные средства.

2/ Specifically, the scaledBalance is calculated with the following formula: sharesAmount.mul(_getTotalPooledApeBalance()).div(totalShares), while _getTotalPooledApeBalance() could be manipulated.

In total, there are 6 key attack steps. pic.twitter.com/kvEpHqPNP5

— BlockSec (@BlockSecTeam) March 17, 2023

Команда ParaSpace заявила, что обнаружила подозрительную активность и заблокировала работу протокола.

We noticed a suspicious transaction, and as a security measure, we have paused the entire ParaSpace protocol.

Currently, no transactions (withdrawals, deposits, liquidations) can take place with our contracts.

We are currently investigating and will provide you with an update… https://t.co/3vrIciVF5C

— ParaSpace (@ParaSpace_NFT) March 17, 2023

Результаты расследования инцидента разработчики опубликуют позднее.

«Можем подтвердить, что все переданные в протокол NFT в безопасности и не подверглись ликвидации», — заверила команда.

We can confirm that all NFTs supplied to the protocol are safe and have not been liquidated.

BAYC:
NFT Staking Pool: https://t.co/yg0ZalDK3n
P2P Contract: https://t.co/Xvh8ndYofn

MAYC:
NFT Staking Pool: https://t.co/HKjZoUr2Nc
P2P Contract: https://t.co/AvAhjgOrQG… https://t.co/1nj1B9B2Nk

— ParaSpace (@ParaSpace_NFT) March 17, 2023

Напомним, в 2022 году Web3-индустрия потеряла в результате взломов около $3,6 млрд. Это почти на 50% больше, чем годом ранее, подсчитали эксперты Beosin.