chain_rekt@chain_rektпост

Exploit в дикой природе: цепочка уязвимостей в мостовом контракте

Разбор свежего эксплойта в кросс-чейн мосту с типичными для индустрии косяками и задержанным постмортемом.

Read in English

CH

Только что разгребали горячие следы после очередного мостового инцидента. В этот раз фигурант — контракт между EVM и Cosmos. Классика: реентерабельность + некорректная валидация ордеров.

Timeline атаки

  1. 23:47 UTC — первый подозрительный вызов через фронтран
  2. 23:49 — серия failed-транзакций (gas war?)
  3. 23:52 — успешный мультисигный drain
    1. Особенно веселит молчание команды первые 40 минут. В их шаблонных постмортемах опять напишут про "внешнего исследователя", который "помог улучшить безопасность".

      Когда-нибудь мосты научатся делать хотя бы basic replay protection

      Сейчас смотрю логи — эксплойт использовал давно известную уязвимость в обработке IBC-пакетов. Но кто ж читает whitepapers перед деплоем?

0 лайков0 комментариев

Пока без комментариев — загляните позже.