रियल-वर्ल्ड एसेट (RWA) री-स्टेकिंग प्रोटोकॉल Zoth को एक शोषण का सामना करना पड़ा, जिससे घाटे में $ 8.4 मिलियन से अधिक का शोषण हुआ, जिससे प्लेटफ़ॉर्म ने अपनी साइट को रखरखाव मोड पर रखा।
21 मार्च को, ब्लॉकचेन सुरक्षा फर्म साइवर्स चिह्नित किए गए एक संदिग्ध Zoth लेनदेन। सुरक्षा फर्म ने कहा कि प्रोटोकॉल के तैनाती के बटुए से समझौता किया गया था और हमलावर क्रिप्टो संपत्ति में $ 8.4 मिलियन से अधिक वापस ले लिया था।
ब्लॉकचेन सिक्योरिटी फर्म ने कहा कि कुछ ही मिनटों के भीतर, चोरी की गई संपत्ति को दाई स्टैबेकॉइन में बदल दिया गया और उन्हें एक अलग पते पर स्थानांतरित कर दिया गया।
साइवर्स ने कहा कि घटना के जवाब में प्रोटोकॉल की वेबसाइट को बनाए रखा गया था। एक सुरक्षा नोटिस में, प्लेटफ़ॉर्म ने पुष्टि की कि इसका सुरक्षा उल्लंघन था। प्रोटोकॉल ने कहा कि यह जल्द से जल्द समस्या को हल करने के लिए काम कर रहा है।
ज़ोथ टीम ने कहा कि उसने अपने भागीदारों के साथ “प्रभाव को कम करने” और स्थिति को पूरी तरह से हल करने के लिए काम किया। मंच ने अपनी जांच पूरी होने के बाद एक विस्तृत रिपोर्ट प्रकाशित करने का वादा किया।
हैक के बाद से, हमलावरों ने फंड ले जाया है और बदली ईथर में संपत्ति (ईटी), Peckshield के अनुसार।
हैकर चोरी के फंडों को स्थानांतरित करता है। स्रोत: Peckshield
हैक की संभावना व्यवस्थापक विशेषाधिकार लीक के कारण होती है
एक बयान में, साइवर्स टीम ने कहा कि घटना स्मार्ट कॉन्ट्रैक्ट प्रोटोकॉल में कमजोरियों और बेहतर सुरक्षा की आवश्यकता पर प्रकाश डालती है।
साइवर्स अलर्ट सीनियर एसओसी लीड हाकन अनल ने कोइंटेलग्राफ को बताया कि एडमिन विशेषाधिकारों में एक रिसाव की संभावना हैक का कारण बना। UNAL ने कहा कि हैक का पता चलने से लगभग 30 मिनट पहले, एक ज़ोथ अनुबंध को एक संदिग्ध पते द्वारा तैनात एक दुर्भावनापूर्ण संस्करण में अपग्रेड किया गया था।
सुरक्षा पेशेवर ने कहा, “विशिष्ट कारनामों के विपरीत, इस पद्धति ने सुरक्षा तंत्र को दरकिनार कर दिया और तुरंत उपयोगकर्ता फंडों पर पूर्ण नियंत्रण दिया।”
सुरक्षा पेशेवर ने COINTELEGRAPH को बताया कि इस प्रकार के हमले को एकल-बिंदु विफलताओं को रोकने के लिए मल्टीसिग कॉन्ट्रैक्ट अपग्रेड को लागू करने से रोका जा सकता है, जो कि एडमिन रोल परिवर्तनों के लिए वास्तविक समय के अलर्ट की निगरानी और रखने की अनुमति देने के लिए अपग्रेड पर टाइमलॉक्स को जोड़ता है। UNAL ने कहा कि अनधिकृत पहुंच को रोकने के लिए बेहतर कुंजी प्रबंधन को भी सलाह दी जाती है।
जबकि हमले को रोका जा सकता है, UNAL का मानना है कि इस प्रकार का हमला विकेंद्रीकृत वित्त (DEFI) में एक समस्या हो सकता है। सुरक्षा पेशेवर ने COINTELEGRAPH को बताया कि DEFI पारिस्थितिकी तंत्र में व्यवस्थापक कुंजी समझौता एक “प्रमुख जोखिम” है।
“विकेन्द्रीकृत अपग्रेड तंत्र के बिना, हमलावर प्रोटोकॉल को संभालने के लिए विशेषाधिकार प्राप्त भूमिकाओं को लक्षित करना जारी रखेंगे,” UNAL ने कहा।
पत्रिका: मेमकोइन्स डेड हैं – लेकिन सोलाना ‘100x बेहतर’ राजस्व की डुबकी के बावजूद