Hack ParaSpace z perspektywy czasu: uratowano 5 milionów dolarów, duże wypłaty zablokowane w czasie, haker chce zwrotu opłat

Według różnych raportów z 5 marca, platforma do obstawiania kryptowalut i NFT, ParaSpace, doświadczyła próby exploita, który naraził na ryzyko 17 milionów dolarów.

ParaSpace potwierdza lukę

ParaSpace przyznał się do ataku na swoje kontrakty na początku dnia. Wstrzymał swój protokół, a później powiedział, że tak znaleziono przyczynę exploita.

W projekcie dodatkowo stwierdzono, że wszystkie środki użytkowników, w tym NFT, są bezpieczne. ParaSpace stracił od 50 do 150 ETH (mniej niż 270,000 5 USD) z powodu poślizgu cen podczas ataku i ożywienia. ParaSpace powiedział, że pokryje te straty protokołu. Ponadto powiedział, że zapewni XNUMX% nagrody dla BlockSec, który poinformował go o problemie.

Zapytany o wcześniejsze audyty, ParaSpace przyznał, że problem istniał pomimo dziewięciu audytów przeprowadzonych przez wiele firm — niektóre z nich miały miejsce zaledwie kilka miesięcy temu.

ParaSpace powiedział, że łata problem i zauważył, że przerwa w protokole pozostanie do czasu dalszych audytów. Chociaż ParaSpace nie ogłosiło czasu reaktywacji, dodało kolejne ograniczenie: duże wypłaty będzie ograniczony czasowo.

BlockSec przechwycił atakującego

Firma zajmująca się bezpieczeństwem kryptowalut BlockSec jako pierwszy zgłosił atak przeciwko ParaSpace o 6:50 UTC 17 marca. Mniej więcej w tym czasie przechwycił hakera i uratował 2,900 ETH (5 milionów dolarów). Firma próbowała skontaktować się z ParaSpace, ale nie otrzymała odpowiedzi.

Według BlockSec luka w zabezpieczeniach jednego z inteligentnych kontraktów ParaSpace pozwoliła atakującemu pożyczyć dodatkowe tokeny w sześcioetapowym procesie.

BlockSec ujawnił również w oświadczeniach do Blok że wykorzystał własny exploit hakera — nawet ponownie wdrażając wersję pierwotnej umowy ataku — w celu odzyskania skradzionych środków na siłę. BlockSec przetrzymał uratowane fundusze i zwrócił je ParaSpace.

Haker później wysłał wiadomość do BlockSec w transakcji blockchain, która wymagała zwrotu 0.7 ETH (1,250 USD) opłat za gaz. Atakujący napisał: „Straciłem dużo pieniędzy, próbując sprawić, by to zadziałało” i dodał: „Fajnie byłoby odzyskać przynajmniej część [tych pieniędzy]”.

ParaSpace to platforma, która pozwala użytkownikom obstawiać inne aktywa, w tym tokeny niezamienne (NFT) i tokeny ERC-20. Jego strona reklamuje Klub jachtowy znudzonej małpy (BAYC), chociaż te dwa projekty nie są oficjalnie powiązane.