Venus Protocol, wiodąca platforma rynków pieniężnych i pożyczkowych na BNB Chain, ogłosiła pełne przywrócenie kluczowych funkcji po wykorzystaniu luki wynikającej z złośliwej aktualizacji kontraktu. Incydent, który miał miejsce we wtorek, skutkował nieautoryzowanym przemieszczeniem około 27 milionów dolarów aktywów, w tym depozytów w vUSDC i vETH. Operacje protokołu, w tym wypłaty i likwidacje, zostały natychmiast zawieszone, aby powstrzymać naruszenie i ułatwić działania naprawcze.
Zespoły ds. bezpieczeństwa szybko zareagowały na incydent, śledząc anomalne transakcje do skompromitowanego kontraktu Core Pool Comptroller. Nowy adres wdrożony przez atakujących otrzymał błędnie przyznane uprawnienia uprzywilejowane, co umożliwiło nieautoryzowaną migrację środków. Analiza łańcucha bloków pozwoliła zidentyfikować wektor ataku i umożliwiła odzyskanie aktywów w ramach wewnętrznych środków ochronnych Venus. Przywrócenie usług front-end i odzyskanie funduszy potwierdzono o godzinie 21:58 UTC, a wszystkie funkcje wznowiono po kompleksowych audytach bezpieczeństwa.
Kanały komunikacji społecznościowej i fora zarządzania zostały wykorzystane do dostarczania aktualizacji w czasie rzeczywistym. Wyznaczona grupa reagowania na incydenty przeprowadziła weryfikację stanu kontraktu oraz sprawdzenia integralności sald użytkowników. Analiza po incydencie wykazała brak dodatkowego naruszenia interfejsów użytkownika. Protokół planuje publikację szczegółowego raportu o podatnościach, który zawiera analizę przyczyn, kroki naprawcze oraz przyszłe środki zapobiegawcze, mające na celu ochronę przed exploitami podczas aktualizacji kontraktów.
Reakcja rynku na exploit obejmowała krótkotrwałą wyprzedaż XVS, z cenami natywnego tokena spadającymi o około 2,69% w ciągu 24 godzin. Odporność podstawowych pul zabezpieczeń oraz szybkie działania naprawcze przyczyniły się do stabilizacji nastrojów użytkowników. Uczestnicy zarządzania rozważają wdrożenie kontroli wielopodpisowych aktualizacji i blokad czasowych dla przyszłych zmian w kontraktach.
Wnioski z incydentu Venus podkreślają znaczenie solidnego zarządzania aktualizacjami w zdecentralizowanych finansach. Operatorzy protokołu oraz zewnętrzni audytorzy muszą współpracować nad strategiami obrony w głąb. Eksploit uwydatnia ryzyka związane z aktualizacjami o nadanych uprawnieniach na platformach smart kontraktów bez rygorystycznych mechanizmów opóźnienia czasowego. Szybkie odzyskanie funduszy i przywrócenie usług przez Venus Protocol pokazują skuteczne zarządzanie kryzysowe, ale jednocześnie wskazują na konieczność proaktywnych środków bezpieczeństwa w ekosystemach DeFi.
Komentarze (0)