Piratage de ParaSpace rétrospectivement : 5 millions de dollars récupérés, retraits importants bloqués dans le temps, le pirate veut récupérer les frais

La plate-forme de jalonnement crypto et NFT ParaSpace a connu une tentative d'exploit qui a mis 5 millions de dollars en danger, selon divers rapports du 17 mars.

ParaSpace confirme la vulnérabilité

ParaSpace a reconnu une attaque contre ses contrats tôt dans la journée. Il a suspendu son protocole et a déclaré plus tard qu'il avait trouvé la cause de l'exploit.

Le projet a en outre déclaré que tous les fonds des utilisateurs, y compris les NFT, étaient sûrs. ParaSpace a perdu 50 à 150 ETH (moins de 270,000 5 $) en raison du glissement des prix pendant l'attaque et la reprise. ParaSpace a déclaré qu'il couvrirait ces pertes de protocole. En outre, il a déclaré qu'il fournirait une prime de XNUMX% à BlockSec, qui l'a informé du problème.

Interrogé sur les audits passés, ParaSpace a admis que le problème existait malgré neuf audits de plusieurs entreprises – dont certains ont eu lieu il y a quelques mois à peine.

ParaSpace a déclaré qu'il corrigeait le problème et a noté que la pause du protocole resterait jusqu'à de nouveaux audits. Bien que ParaSpace n'ait pas annoncé de délai de réactivation, il a ajouté une autre limitation : les retraits importants sera verrouillé dans le temps.

BlockSec a intercepté l'attaquant

La société de sécurité crypto BlockSec signalé pour la première fois l'attaque contre ParaSpace à 6 h 50 UTC le 17 mars. À cette époque, il a intercepté le pirate et a sauvé 2,900 5 ETH (XNUMX millions de dollars). La société a tenté de contacter ParaSpace mais n'a reçu aucune réponse.

Selon BlockSec, une vulnérabilité dans l'un des contrats intelligents de ParaSpace a permis à l'attaquant d'emprunter des jetons supplémentaires via un processus en six étapes.

BlockSec a également révélé dans des déclarations à Le bloc qu'il a utilisé le propre exploit du pirate - même en redéployant une version du contrat d'attaque d'origine - pour récupérer de force les fonds volés. BlockSec a détenu les fonds récupérés et les a rendus à ParaSpace.

Le hacker plus tard a envoyé un message à BlockSec dans une transaction blockchain qui demandait le remboursement de 0.7 ETH (1,250 XNUMX $) de frais de gaz. L'attaquant a écrit : « J'ai perdu beaucoup d'argent en essayant de le faire fonctionner » et a ajouté : « Ce serait cool de récupérer au moins une partie de [cet argent].

ParaSpace est une plate-forme qui permet aux utilisateurs de miser d'autres actifs, y compris des jetons non fongibles (NFT) et des jetons ERC-20. Son site annonce Singe ennuyé Yacht Club (BAYC), bien que les deux projets ne soient pas officiellement associés.