Des rapports sur l’exploitation de SperaxUSD émergent

Un utilisateur s’est rendu sur Twitter pour annoncer qu’il y avait eu une attaque contre les USD d’Arbitrum dans laquelle un bogue dans le changement automatique d’utilisateurs avait conduit au piratage. Selon l’un des tweets de la série, le code a changé la moitié du compte en un nouveau style, en utilisant ce changement pour calculer l’autre moitié du basculement.

L’exploitation a débuté avec l’utilisateur envoyant d’abord de l’argent à une adresse EOA. Cela a encore déclenché la migration de la comptabilité en USD, qui avait un bogue lorsque la comptabilité avait déjà des fonds.

Le bogue était difficile à suivre; cependant, l’utilisateur qui a annoncé la nouvelle a expliqué comment il l’avait fait. Par un autre tweet de la série, l’utilisateur a utilisé la recherche binaire sur les soldes des comptes pour savoir quel bloc avait le problème. Le bytecode du contrat a ensuite été décompilé, puis les lectures et écritures de stockage ont été utilisées pour tracer le flux interne d’exécution.

Un autre utilisateur a donné plus de détails, informant la communauté que le piratage de SperaxUSD avait apparemment causé une perte de 250 000 $ sur le réseau. L’attaquant a pu gonfler l’offre d’USD sans laisser de journal de transfert, sans laisser personne savoir à quel point les jetons ont été frappés ou déplacés.

Concrètement, l’utilisateur qui a fait l’acte a profité d’un bogue dans le code de rebasage. Cela sonne à peu près comme il se doit. Le pirate a exploité la faille du réseau pour ne laisser aucune preuve d’une mise à niveau malveillante du contrat intelligent de SperaxUSD.

Bien que l’équipe derrière la communauté n’ait pas encore répondu au problème, il peut être vérifié grâce aux enregistrements en chaîne que le pirate a pu emporter 250 000 $ de stablecoins. Sperax a mis le système en pause pour éviter tout dommage supplémentaire. Si l’attaque avait été remarquée auparavant, le système aurait pu être interrompu plus tôt pour éviter les dégâts. Néanmoins, des mesures ont été prises pour atténuer toute perte qui pourrait survenir à l’avenir.

L’équipe Sperax a identifié l’adresse comme kochironnosaif.ethmentionnant la même chose sur Twitter même si cela a été fait par l’utilisateur, qui a également partagé une capture d’écran pour révéler que l’attaquant a un peu plus de 23,5 ETH d’une valeur de 38 859 $.

Les USD sont entièrement soutenus par un portefeuille diversifié de pièces stables telles que Tether et USD Coins. L’équipe ne va pas simplement arrêter de construire l’écosystème après l’incident.

Il est important de noter que SperaxUSD se situe actuellement à une capitalisation boursière de 22,04 millions de dollars, selon CoinMarketCap. Chaque jeton a ensuite été vu changer de mains au taux de 0,99 $, soit une baisse de 1,12 % au cours des dernières 24 heures. Maintenant que la nouvelle est sortie sur Internet, les chiffres sont plus susceptibles de changer à moins que l’équipe de Sperax ne réponde directement au problème.

Une déclaration sur la manière dont il prévoit de prévenir de futures attaques comme celles-ci irait certainement loin.