Một số người dùng video game nông trại NFT Wanaka Farm chia sẻ rằng sau quá trình thử nghiệm alpha, thử nghiệm beta, game đang gặp rất nhiều lỗi và lỗi liên quan đến nạp / rút tiền.
Tin tặc đã đánh cắp gần 1 triệu đô la bằng cách lạm dụng một lỗi phụ trợ API trong trò chơi NFT Wanaka Farm
Wanaka Farm là match nông trại được nhiều người dùng mong đợi. Tuy nhiên, trong quá trình thử nghiệm alpha và beta, người dùng đã báo cáo nhiều lỗi nghiêm trọng trong trò chơi liên quan đến việc rút và gửi tiền điện tử. Dưới đây là phân tích được thực hiện bởi Verichains Lab và BShield, một công ty khởi nghiệp bảo mật cho các ứng dụng của hệ thống di động, về một cuộc tấn công nhắm vào Wanaka Farm cho phép hacker đánh cắp hơn một triệu USD.
Nó được chính thức phát hành vào ngày 29 tháng 10 năm 2021. Việc phát hành xảy ra ngay sau khi có báo cáo lỗi về việc rút / gửi tiền, dẫn đến thông báo bảo trì. Sau hai ngày, họ thông báo rằng lỗi đã được sửa.
Tin tặc đã lạm dụng sự chậm trễ trong khi các giao dịch đang được xác nhận trong chuỗi khối để thực hiện một cuộc tấn công phát lại trên API phụ trợ. Những hành động đó đã dẫn đến việc API phụ trợ gọi hợp đồng thông minh nhiều lần. Kẻ tấn công đã sử dụng lỗi này để đánh cắp hơn 500.000 đô la chỉ trong vài giờ.
Sau đó, các nhà phát triển đã thông báo một đợt bảo trì mở rộng kéo dài hàng tuần nhưng vẫn giữ cho thị trường mở.
Tuy nhiên, vào ngày 11 tháng 11, hacker lại lạm dụng lỗi tương tự để bỏ túi hơn 400.000 USD. Sau khi chúng tôi kiểm tra giao dịch, chúng tôi phát hiện ra rằng họ đã tạo ra 500 địa chỉ (để lấy tiền) để khai thác lỗi đó.
- Tin tặc đã tạo ra 500 địa chỉ truy xuất tiền điện tử và phân phối 1.188 BNB như nhau trên tất cả các địa chỉ đó và mỗi địa chỉ sẽ nhận được khoảng .02 BNB. Sau đó, họ gửi mã thông báo WANA đến một trong các địa chỉ (có thể là bất kỳ).
- Trên cùng địa chỉ đó, họ đã ký gửi WANA vào hợp đồng 0x164664fcf89f3b722bcba6f02f2c9e3b9081c2a1. Sau khi thực hiện, họ đã rút tiền từ 5-7 lần. Số lượng token sau đó đã trải qua một đợt bùng nổ khiến số lượng này tăng lên gấp 5-7 lần, mặc dù hacker chỉ gửi một lần.
- Gửi số lượng mã thông báo ban đầu đến một địa chỉ truy xuất khác và gửi số tiền thu được thông qua lỗi gửi tiền đến ví chính.
- Lặp lại bước 2.
Đây không phải là lỗi hợp đồng thông minh mà là lỗi API phụ trợ. Kẻ tấn công đã thực hiện nhiều cuộc tấn công phát lại vào điểm cuối API để yêu cầu các mã thông báo đã gửi nhiều lần.
Sau khi bị tấn công, các nhà phát triển đã đóng cửa thị trường để bảo trì và quyền truy cập vào API phụ trợ bị đóng. Cuối cùng, kẻ tấn công đã gửi tất cả các mã thông báo đến ví 0x1f7234eabcb85242f15e3fd8962b70a4caf92b4c và bán một phần lớn trong số đó với giá 310 nghìn đô la. Hiện tại, ví của hacker vẫn đang giữ hơn 112000 mã thông báo WANA. Giá trung bình của mỗi mã thông báo WANA là 2 đô la, vì vậy những mã thông báo đó tương đương với 240 nghìn đô la.
Sự cố này là do quá trình rút tiền bị chậm trễ khi giao dịch chưa được xác nhận. Kẻ tấn công nhanh chóng gửi yêu cầu rút tiền, sau đó chương trình phụ trợ kiểm tra số dư ví và trả nó về trạng thái sẵn sàng, dẫn đến chức năng rút tiền được gọi từ hợp đồng thông minh và tạo ra nhiều yêu cầu rút tiền. tiền bạc. Khi lần rút tiền đầu tiên hoàn tất, chương trình phụ trợ không cho phép rút tiền nữa, nhưng kẻ tấn công đã nhận lại số lượng mã thông báo gấp 5-7 lần. Đây là một sai lầm lớn trong quá trình phát triển, với các API phụ thuộc vào các hợp đồng thông minh để thực hiện các giao dịch.
Tính bảo mật của một sản phẩm sử dụng blockchain và mã thông báo tiền điện tử như một trò chơi NFT không chỉ phụ thuộc vào hợp đồng thông minh mà còn cả bản thân ứng dụng, API phụ trợ, quy trình phát triển và các hệ thống dịch vụ khác.
Đăng ký tài khoản Binance tại đây (Giảm 10% phí giao dịch): https://accounts.binance.com/en/sign-up?ref=29171587
