现实世界中的资产(RWA)重新制定协议Zoth遭受了剥削,导致超过840万美元的损失,使该平台将其站点置于维护模式。
3月21日,区块链安全公司的圈子 标记 可疑的Zoth交易。这家安全公司表示,该协议的部署钱包被妥协,攻击者撤回了超过840万美元的加密资产。
这家区块链安全公司表示,在几分钟之内,被盗的资产被转换为Dai Stablecoin,并转移到了另一个地址。
Cyvers补充说,该协议的网站是为了响应事件而维护的。在安全通知书中,该平台确认它有安全漏洞。该协议表示,它正在努力尽快解决该问题。
Zoth团队表示,它与合作伙伴合作,以“减轻影响”并充分解决局势。该平台承诺在调查完成后发布详细报告。
自从黑客攻击以来,攻击者已将资金移动 交换 资产进入以太(eth),根据佩克希尔德(Peckshield)的说法。
黑客移动了被盗的资金。资料来源:Peckshield
黑客可能是由管理员特权泄漏引起的
Cyvers团队在一份声明中说,该事件突出了智能合同协议中的漏洞以及需要更好安全的漏洞。
Cyvers提醒高级SOC负责人Hakan Unal告诉Cointelegraph,管理员特权泄漏可能造成了黑客攻击。联合国说,在发现黑客攻击前约30分钟,将Zoth合同升级到通过可疑地址部署的恶意版本。
安全专业人员说:“与典型的利用不同,这种方法绕过了安全机制,并立即对用户资金充分控制了。”
安全专业人员告诉Cointelegraph,可以通过实施Multisig合同升级来防止单点失败,从而在升级上增加时间表以允许监视和放置对管理员角色更改的实时警报,从而防止这种类型的攻击。 Unal补充说,还建议更好的密钥管理以防止未经授权的访问。
尽管可以防止攻击,但Unal认为这种类型的攻击可能继续是分散财务的问题(DEFI)。安全专业人员告诉Cointelegraph,管理员密钥妥协仍然是Defi生态系统中的“主要风险”。
Unal补充说:“如果没有分散的升级机制,攻击者将继续以特权角色为目标来接管协议。”
