Bancor entdeckt kritische Schwachstelle und hackt sich selbst um Diebstahl zu verhindern

Die dezentralisierte Börse Bancor hat einen intelligenten Vertrag mit einer kritischen Schwachstelle veröffentlicht und hackt sich nun selbst, um Benutzergelder vor böswilligen Akteuren zu retten.

Die neueste Version des dezentralisierten Bancor-Austauschs scheint anfällig für einen sehr schwerwiegenden Fehler zu sein, der zu einem erheblichen Verlust von Benutzergeldern führen kann.

Laut dem Tweet, den Bancor am 18. Juni veröffentlichte, betrifft die Schwachstelle die neueste Version des intelligenten Vertrags von BancorNetwork, der am 16. Juni gestartet wurde.

Benutzer von Bitcoin Evolution, die auf Bancor gehandelt haben und eine Rückzugsgenehmigung für seinen intelligenten Vertrag erteilt haben, werden dringend aufgefordert, diesen über eine spezialisierte Website, approved.zone, zu widerrufen.

Das Team enthüllte, dass es nach der Entdeckung der Schwachstelle „den Vertrag als White-Hack“ angegriffen habe, um gefährdete Gelder an einen sicheren Ort zu verlagern. Vermutlich nutzte das Team dazu die oben erwähnte Schwachstelle, was bedeutet, dass ein Angreifer einen erheblichen Teil der Benutzergelder hätte abziehen können.

Hex Capital twitterte, dass die Ausgabe aus der Möglichkeit resultierte, einen „safeTransferFrom“ ohne die entsprechende Genehmigung anzurufen. Diese Funktion ist eines der Schlüsselelemente des ERC-20-Vertrags, da sie es einem intelligenten Vertrag ermöglicht, eine bestimmte Zulage zu entziehen, ohne dass eine Interaktion des Benutzers erforderlich ist.

Hex Capital spekulierte, dass das Team „in vielen Fällen zu spät“ war, um Gelder zu sparen. Laut einer Untersuchung des 1inch.exchange-Teams ist dies jedoch die Schuld der Spitzenreiter.

Überweisung auf Bitcoin Evolution tätigen

Spitzenkandidaten „stehlen“ einen Teil des Geldes

Das 1inch.exchange-Team fand mindestens zwei öffentlich bekannte Spitzenreiter, die gleich zu Beginn begannen, die Transaktionen des Bancor-Teams zu kopieren. Die Front-Running-Bots wurden eingerichtet, um Arbitragemöglichkeiten auszunutzen, und waren „nicht in der Lage, Arbitragemöglichkeiten von Hacking zu unterscheiden“, schrieb das Team.

Alle Spitzenreiter, die beigetreten sind, haben jedoch öffentlich aufgeführte Kontaktinformationen, was bedeuten sollte, dass sie bereit wären, das Geld zurückzugeben. Einer der Spitzenreiter hat bereits versprochen, das Geld zurückzugeben. Der Anteil, der an die Spitzenreiter ging, ist jedoch signifikant, wobei das 1-Zoll-Team schrieb:

„Das Bancor-Team rettete insgesamt 409.656 Dollar und gab 3,94 ETH für Gas aus, während die automatischen Spitzenreiter 135.229 Dollar erbeuteten und 1,92 ETH für Gas ausgaben. Den Benutzern wurden insgesamt 544.885 Dollar in Rechnung gestellt“.

Audits waren nicht hilfreich

Als Reaktion auf den Vorfall begannen einige Gemeindemitglieder in Frage zu stellen, ob Bancor Prüfungen der neuen intelligenten Verträge durchführte. In der Ankündigung für die neue Version 0.6 bemerkte Bancor, dass ein „Sicherheitsaudit im Gange sei“.

Obwohl keine weiteren Informationen verfügbar waren, berichtete der anonyme Forscher Frank Topbottom über einen Befund aus seinem GitHub-Repository, der eine Sicherheitsüberprüfung durch Kanso Labs erwähnte. Das Unternehmen scheint seinen Sitz in Tel Aviv zu haben, wo sich auch der Großteil des Bancor-Teams befindet.

Das Bancor-Team teilte Cointelegraph mit, dass die Schwachstelle kurz nach dem Start von einem Dritten Entwickler entdeckt wurde, ähnlich wie es bei Bug-Bounties funktionieren würde.

Wie Cointelegraph bereits früher berichtete, reichen Audits selten aus, um die Sicherheit zu gewährleisten.