Um invasor visando o protocolo DeFi El Dorado Exchange (EDE Finance) devolvida mais de $ 400.000 em USDC e USDT depois que o projeto admitiu que tomou uma “decisão imprudente de manipular o preço”.
Hoje cedo, a exchange descentralizada (DES) protocolo foi explorado por cerca de US$ 580.000, de acordo com a empresa de segurança Peckshield, especializada em monitorar e analisar atividades suspeitas em redes blockchain
Após a notícia, o token EDE caiu 14%, para US$ 0,5767, no momento da redação deste artigo, de acordo com o CoinMarketCap. dados.
Como o EDE foi explorado
30 de maio análise do Numen Cyber Labs mostrou que o invasor manipulou os preços dos tokens no DEX.
O invasor explorou uma função dentro do contrato Oracle de código fechado do protocolo após invocar a função “func_147d9322”. De acordo com o Numen Cyber Labs, essas ações permitiram ao invasor manipular os preços dos tokens e explorar efetivamente o projeto.
Enquanto isso, o auditor do projeto LunaraySEC disse que as vulnerabilidades exploradas não estavam no escopo de sua auditoria inicial, adicionando que a equipe EDE Finance “identificou e corrigiu” o problema.
Atacante EDE ganha US$ 100 mil
na cadeia dados mostra que o invasor DEX ganhou $ 104.000 depois de devolver 86.222 USDT e 333.948 USDC dos fundos roubados.
De acordo com a cadeia mensagenso invasor alegou que a equipe do projeto inseriu um backdoor que permitiria liquidar seus usuários e roubar seus fundos.
“Os desenvolvedores implementaram um backdoor que lhes permitiu forçar a liquidação de qualquer posição que desejassem. Essa atividade maliciosa envolveu a assinatura intencional de preços incorretos para manipular as posições dos usuários e roubar seus fundos. Para impedir esse ataque aos usuários, um chapéu branco foi iniciado para trazer esse problema à tona.”
O invasor escreveu que, se a equipe admitisse essa atividade maliciosa, eles devolveriam os fundos e “trariam à tona vulnerabilidades adicionais existentes”.
A equipe EDE diz que o contrato malicioso tinha como objetivo colocar exploradores na lista negra
Ao admitir as alegações, a equipe da EDE afirmou que sua “intenção era colocar na lista negra aqueles que já haviam explorado o sistema”. Isto adicionado:
“Não pretendíamos desviar os fundos dos usuários, pois isso deixaria um registro rastreável. Removeremos prontamente o contrato problemático da bomba.”
Além disso, o protocolo ofereceu ao invasor 5% da alocação de token de sua equipe como agradecimento por apontar as outras vulnerabilidades. No entanto, a oferta está sujeita ao período de carência da equipe.
o posto O atacante do El Dorado Exchange devolve mais de $ 400k depois que a equipe admite vulnerabilidades de código apareceu primeiro em CryptoSlate.
