2019年的一份与Dolomite加密交易所签订的合同遭到破坏,导致从该合同中损失了180万美元,即541个ETH。
正如区块链安全公司Peckshield Alerts所指出的那样,Dolomite交易所以前使用的受严格控制的合同成为非法转移大约180万美元USDC的渠道。攻击者将窃取的USDC兑换成了约541.5个ETH,价值约190万美元,以及9.4万个DAI代币。
攻击者利用了“callFunction”功能的漏洞,该功能允许对任何代码进行调用。由于其“call”函数缺乏“重入保护”,攻击者可以通过此漏洞从受影响的用户中窃取资金,CertiK的报告揭示了这一点。
该特定用户组的用户参与了批准操作,因此受到了该漏洞的影响。开发团队立即警告用户撤销对以太坊Dolomite地址0xe2466的访问权限。
通过提交上述交易,所有尚未撤销许可的用户应该是安全的。然而,我们仍然鼓励用户撤销对上述合同的许可。
影响和缓解措施
至今,直接与Arbitrum上的第一个版本合同进行过通信的用户并未受到影响,开发人员立即停用了该合同,以防止其他受害者。尽管采取了这些预防措施,但用户仍被提醒要撤销与合同风险相关的访问权限,并增加安全性。
在2022年,建立在以太坊上的交易所和借贷协议Dolomite决定逐步转向Arbitrum,并逐渐停止对基于以太坊的协议的支持。由于智能合约是不可逆的,他们能够通过专业工具管理以太坊版本。
在Dolomite团队处理黑客攻击的后果时,团队强烈建议用户撤销与受影响合同的许可,并在加密货币活动中保持警惕。
GIPHY App Key not set. Please check settings