威胁情报:Polkatrain团队4月5日遭受黑客攻击,57000 DOT被盗 – 作者:网安信科技wax

2021年4月5日上午3:00左右,Polkatrain的智能合约在LBP拍卖期间遭到黑客套利回扣攻击,其中57000 DOT(价值约300万美元)被盗。事故发生后,Polkatrain团队第一时间联系了BSC、Binance和安全审计公司成立了Polkatrain自治委员会,共同对事件进行跟踪处理。目前,BSC团队和Binance已协助Polkatrain追踪地址,并且正在恢复过程中。

22.png

攻击分析

据网安信安全团队分析,本次攻击事件是源于Polkadot生态系统更新时,上线具有交换功能和折扣机制的POLT_LB,当Polkatrain用户购买Polkatrain本机令牌PLOT时,他们将能获得一定数量的返利,但系统是通过交换功能发送返利,这一设计存在严重缺陷,黑客通过扫描获取了缺陷并进行了大量套利。此外,由于本次更新并没有设置最大返利数值,将无法确定恶意套利者是否已经用完总的返利,也无法确定后续的损失是否还会扩大。

解决方案

可想而知,未来即将有大量价格非常低的POLT进入了市场,这对平台的发展极为不利。基于此点,Polkatrain团队与Hoo.com交易所协商决定,将统一作废此前已经充值的所有POLT,并以1:1的比率映射新令牌,以确保各方的利益,而且从LBP第一个拍卖的异常POLT开始将被一一锁定,但不影响映射后的新令牌正常的POLT交易和拍卖交易,交易将在 2021年4月10日之前开始。Polkatrain也从此事件中吸取教训,目前已经全面修复平台漏洞,提高了安全性和风险控制能力,并透露将在LB流动性挖掘期间,同时启动V2.0。

新建项目.jpg

在天使轮投资机构和KOL得知这一事件后,很快接受了Polkatrain被黑客攻击的事实,非常认可Polkatrain团队的相关做法,不仅给予了精神上的支持,而且一些投资机构还进行了额外的投资,由此可见他们对Polkatrain的发展依然保持乐观态度。

网安信安全团队提醒,首先,任何企业在更新业务功能时,务必要进行周密的安全检测,对新功能的逻辑设计部分,必须进行多次安全测试,对相关漏洞进行修复与加固,将一切可能的安全隐患消除;其次,对有价值的数字资产要做好严密的安全防护,尤其是在活动期间,要严防黑客进行DDOS攻击,薅羊毛攻击,套利攻击等等。

来源:freebuf.com 2021-04-07 18:27:23 by: 网安信科技wax

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论