Хакеры атаковали криптовалютную биржу OKex

image

Теги: уязвимость, batchOverflow, криптовалюта

Злоумышленники проэксплуатировали уязвимость в системе смарт-контрактов и похитили огромное количество криптовалюты BeautyChain.

Криптовалютная биржа OKex стала жертвой хакерской атаки, в ходе которой злоумышленники похитили 8 вигинтиллионов (число с 63 нулями) единиц криптовалюты BeautyChain.

Как сообщили исследователи из компании Peckshield, в ходе атаки злоумышленники проэксплуатировали ранее неизвестную уязвимость в системе смарт-контрактов, получившую название batchOverflow. По словам специалистов, batchOverflow представляет собой проблему целочисленного переполнения, при которой вычисленное в результате операции значение не может быть помещено в n-битный целочисленный тип данных.

«Уязвимая функция находится в batchTransfer. Локальная переменная ammount вычисляется как сумма cnt и _value. Второй параметр, а именно _value, может быть произвольным 256-битным целым числом, например 0x8000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000 (63 нуля). Имея два _receivers, переданных в batchTransfer (), с подобным значением можно переполнить сумму и сделать ее равной нулю. При обнулении суммы злоумышленник может затем пройти проверки на работоспособность в строках 258-259 и сделать вычитание в строке 261 неактуальным», - отметили эксперты.

По данным специалистов, batchOverflow обнаружена в более чем десятке различных контрактов ERC20.

В настоящее время OKex приостановила все операции с криптовалютой BeautyChain.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus