Простая уязвимость в ПО для смарт-контрактов позволила хакеру украсть цифровую валюту на $31 млн

MonoX Finance токен хищение средств
Ошибка учета в программном обеспечении компании MonoX Finance позволила злоумышленнику повысить цену токена MONO.

Простая уязвимость в ПО для смарт-контрактов позволила хакеру украсть цифровую валюту на $31 млн

Блокчейн-стартап MonoX Finance стал жертвой кибератаки , в ходе которой хакер украл $31 млн. Киберпреступник воспользовался уязвимостью в программном обеспечении, которое платформа использует для составления «умных» контрактов.
Компания использует децентрализованный финансовый протокол MonoX, позволяющий пользователям торговать токенами цифровой валюты без определенных требований традиционных бирж. Ошибка учета в программном обеспечении компании позволила злоумышленнику повысить цену токена MONO, а затем использовать его для обналичивания всех других депонированных токенов.
В ходе кибератаки использовался тот же токен, что и в tokenIn и tokenOut, которые являются методами обмена значения одного токена на другой. MonoX обновляет цены после каждого свопа, вычисляя новые цены для обоих токенов. Когда своп завершен, цена tokenIn (токена, отправленного пользователем), уменьшается, а цена tokenOut (полученного пользователем токена) увеличивается.
Используя один и тот же токен как для tokenIn, так и для tokenOut, хакер значительно увеличил цену токена MONO, потому что обновление tokenOut перезаписало обновление цены tokenIn. Затем хакер обменял токен на токены на сумму в $31 млн на блокчейнах Ethereum и Polygon.
Руководство MonoX Finance пыталось установить контакт с злоумышленником, отправив сообщение через транзакцию в основной сети ETH.
Напомним, в октябре нынешнего года неизвестный злоумышленник взломал сервер Discord NFT-проекта Creature Toadz и обманом заставил участников сообщества отправить ему деньги. В общей сложности хакеру удалось выманить у пострадавших более 88 ETH (свыше $340 тыс. по курсу на момент совершения преступления). Примечательно, что позднее хакер вернул все деньги.

SECURITYLAB.RU

Источник