Tổng quan
Vào ngày 11 tháng 6 năm 2024, một lỗ hổng bảo mật nghiêm trọng đã được phát hiện trên mạng lưới Ethereum, nhắm mục tiêu cụ thể vào dự án JokInTheBox . Cuộc tấn công này gây ra thiệt hại tài chính khoảng 34.292 đô la Mỹ.
Chuỗi : Ethereum
Kẻ tấn công : 0xfcd4acbc55df53fbc4c9d275e3495b490635f113
Hợp đồng tấn công : 0x9d3425d45df30183fda059c586543dcdeb5993e6
Nạn nhân : 0xa6447f6156effd23ec3b57d5edd978349e4e192d
Tác động giá$JOK : ~90%
Phân tích
Cuộc tấn công bắt đầu bằng việc kẻ tấn công khởi tạo một giao dịch ( LINK (Chainlink) Etherscan ), sử dụng 0,2 ETH để mua 366.060.210 token JOK thông qua Uniswap V2. Sau đó, các token này được chuyển đến hợp đồng tấn công tại địa chỉ 0x9d3425d45df30183fda059c586543dcdeb5993e6 và được đặt cọc.
Giai đoạn quan trọng của cuộc tấn công diễn ra như sau:
Lỗ hổng bảo mật này bắt nguồn từ chức năng unstake của hợp đồng JokInTheBox .
Phần kết luận
Để giảm thiểu các lỗ hổng này, điều bắt buộc là các nhóm dự án phải xác thực nghiêm ngặt các mô hình kinh tế và logic mã của họ trong giai đoạn thiết kế. Việc sử dụng nhiều công ty kiểm toán để kiểm tra chéo toàn diện trước khi triển khai hợp đồng có thể tăng cường đáng kể tính bảo mật. Ngoài ra, điều cần thiết là tập trung vào các biện pháp bảo mật mạnh mẽ trong suốt vòng đời phát triển, đảm bảo kiểm tra và xác thực kỹ lưỡng tất cả các chức năng của hợp đồng để ngăn chặn các cuộc tấn công tương tự trong tương lai.
