विकेंद्रीकृत एक्सचेंज स्टेज फाइनेंस ने एक सुरक्षा उल्लंघन का अनुभव किया है जिसने एक हमलावर को एक्सचेंज के स्थानीय स्टेज फाइनेंस (LVL) टोकन के $1 मिलियन से अधिक की चोरी करने की अनुमति दी है।
स्टेज फाइनेंस ने अपने 20,000 ट्विटर फॉलोअर्स को सूचित किया कि एक्सचेंज के LVL टोकन के 214,000 से अधिक को खाली कर दिया गया है और $ 3,345 मिलियन के अनुमानित मूल्य के साथ 1.01 Binance Coin (BNB) में स्वैप किया गया है।
एक शोषण ने हमारे रेफरल नियंत्रक अनुबंध पर ध्यान केंद्रित किया।
- 214,000 LVL टोकन शोषक के हैंडल से वापस ले लिए गए।
- हमलावर ने LVL को 345 BNB में बदल दिया
- शोषण को विभिन्न अनुबंधों से अलग कर दिया गया है।
- 12 घंटे में मरम्मत की आपूर्ति की जाएगी।
- एलपी और डीएओ वॉल्ट प्रभावित नहीं हुए।
आने के लिए अतिरिक्त विवरण।
- लेवल फाइनेंस #RealYield (@Level__Finance) 1 मई 2023
ब्लॉकचैन सुरक्षा एजेंसी पेकशील्ड के आधार पर, स्टेज फाइनेंस के "लेवलरेफ़रलकंट्रोलरवी2" समझदार अनुबंध में एक दोष था जो समान युग से "बार-बार रेफ़रल दावों" की अनुमति देता था। इसकी पुष्टि स्टेज फाइनेंस ने डिस्कॉर्ड पर बाद के एक बयान में की थी।
यह प्रकट होता है @लेवल__फाइनेंसLevelReferralControllerV2 अनुबंध में एक बग है जो समान युग से बार-बार संदर्भ दावों को सक्षम करता है। अब तक 214,000 LVL काट लिए गए हैं और 3,345 BNB (~1M) में बदल दिए गए हैं।
यहाँ एक उदाहरण हैक TX है: https://t.co/isqHhzFk1Z https://t.co/ikOWx2ezf6 pic.twitter.com/wlr5bFFf0R
- पेकशील्ड इंक (@peckshield) 1 मई 2023
इस बीच, जानकारी Binance चेन एक्सप्लोरर BSC स्कैन से, V2 नियंत्रक अनुबंध पिछले 48 घंटों में डिक्लेयर ए नंबर फ़ंक्शन के लिए कई कॉल प्रदर्शित करता है।
लेखन के समय, कार्यान्वयन हमले के उभरने के बाद से अनुबंध में बदलाव नहीं हुआ है, हालांकि स्टेज फाइनेंस का कहना है कि यह अगले 12 घंटों के भीतर रेफरल अनुबंध का एक नया कार्यान्वयन प्रदान करेगा।
एक्सचेंज ने यह भी नोट किया कि इसके तरलता पूल और संबंधित डीएओ हमले से अप्रभावित रहते हैं।
एसोसिएटेड: अप्रैल के क्रिप्टो घोटाले, शोषण और हैक्स के परिणामस्वरूप $103 मिलियन का नुकसान हुआ - CertiK
ट्विटर पर @DeDotFiSecurity के आधार पर, कर्मचारी कहते हैं कि यह शोषण को रोकते हुए "रेफ़रल प्रोग्राम को जल्दी से बंद कर देता है"।
डिस्कॉर्ड पर, स्टेज फाइनेंस ने कहा कि शोषण को अन्य कारनामों से अलग कर दिया गया है और एक्सचेंज के उपयोगकर्ताओं को "पूर्ण शव परीक्षण के लिए इंतजार करना चाहिए।"
जर्नल: एथेरियम का ZK रोलअप इंटरऑपरेबल में कैसे बदल सकता है