W ciągu ostatniego roku zdecentralizowane finanse (DeFi) odnotowały gwałtowny wzrost z ponad 4.3 milionami użytkowników w chwili pisania tego tekstu. Nie trzeba dodawać, że nie wykazuje żadnych oznak spowolnienia, biorąc pod uwagę obecny popyt. To powiedziawszy, pewną rolę odegrały również włamania, oszustwa i podobne nielegalne działania. Jakkolwiek niefortunnie to brzmi, wiąże się to z pewnymi zagrożeniami dla bezpieczeństwa.
Drastyczne kroki
Wielomiliardowy gigant gier blockchain Illuvium jest obecnie tematem dyskusji po tym, jak padł ofiarą nielegalnej działalności. Chociaż do tej pory żadne fundusze nie zostały naruszone.
Illuvium to sport bitewny fantasy w otwartym świecie, który jest zbudowany w sieci Ethereum i ma na celu przekształcenie się w podstawowy sport oparty na blockchainie z oceną AAA, który zawiera elementy zdecentralizowanych finansów (DeFi) i niezamiennych tokenów (NFT).
Oto interesująca część. Po wykryciu luki w kontraktach stakingowych, Illuvium wyssał całe środki z puli Uniswap. W ten sposób uniemożliwiając atakującemu wypłacenie pieniędzy. Zespół napisał na Twitterze:
Znaleźliśmy lukę w naszych umowach dotyczących stakingu i w związku z tym eDAO tymczasowo wstrzymało $sILV bicie. Wektor ataku został zamknięty i żadne fundusze nie zostały naruszone. Jest to wyłącznie mechanizm ochronny dla DAO. (1/2)
— Iluwium (@iluwium) 4 stycznia 2022 r.
Wspomniany środek ostrożności nie jest zaskoczeniem. Zwłaszcza biorąc pod uwagę wzrost liczby włamań, exploitów i ataków w świecie DeFi. Ale przeszkoda została usunięta. Tak przynajmniej twierdził zespół. Aktualizacja stwierdziła,
„Luka w zabezpieczeniach została naprawiona w kontraktach stakingowych V2 i spodziewamy się, że zostaną one wkrótce uruchomione. $ILV posiadacze będą mieli czas przed sprzedażą gruntów, aby ubiegać się o swoje $sILV. Bardzo przepraszamy za niedogodności. Zapewnienie ochrony DAO jest naszym głównym priorytetem”.
Oto znaczenie wspomnianej akcji. Pula sILV/ETH Uniswap V3 została opróżniona ze wszystkich środków w serii dużych transakcji. Skrócił nawet cenę transakcyjną sILV do 0 USD, choć tymczasowo.
Dalsza analiza
Po dalszej analizie zespół wraz ze współzałożycielem sieci Aaronem Warwickiem poczynili kilka obserwacji.
Po pierwsze, byli użytkownicy rozmyślny aby nie kupować żadnej płynności. Ponadto atakujący byli w stanie ukraść część funduszy. Jednak obecnie nie jest jasne, ile sILV atakujący był w stanie wypłacić jako ETH, zanim zespołowi udało się całkowicie opróżnić pulę.
Ponadto zespół dodał kilka spostrzeżeń, aby ostrzec użytkowników o kolejnych krokach.
…nie tracą żadnych środków z tego ataku. Badamy ten problem i będziemy nadal dostarczać aktualizacje tak szybko, jak to możliwe. Przypominamy, że nie możemy teraz powstrzymać ludzi przed kupowaniem do puli, ale prosimy NIE kupować w nieoficjalnej puli sILV. ⚠️ (3/3)
— Iluwium (@iluwium) 4 stycznia 2022 r.
W ramach ostatniego ostrzeżenia zespół rzucił światło na ważny aspekt. Coś do przemyślenia przed podjęciem działań.
Istnieją oszuści udający oficjalne konto wsparcia Illuvium na Twitterze, udając, że oferują pomoc. Nasze konto na Twitterze zostało zweryfikowane (sprawdź niebieski haczyk). Nigdy nie podawaj swoich haseł ani fraz źródłowych ani nie klikaj podejrzanych łączy. Zgłosiliśmy konto do Twittera.
— Iluwium (@iluwium) 4 stycznia 2022 r.
Ogólnie rzecz biorąc, szczegółowa sekcja zwłok dostarczyłaby informacji niezbędnych do wspomnianego włamania. Na razie ILV, żeton zarządzania Illuvium, otrzymał poważne uderzenie. Był notowany na poziomie 990 USD z 4% korektą w ciągu 24 godzin.
Źródło: https://ambcrypto.com/illuvium-takes-measures-to-protect-staked-funds-post-discovery-of-vulnerability/