Les experts de BlockSec ont découvert une vulnérabilité dans le protocole d’atterrissage ParaSpace NFT. Le bogue menaçait de perdre 2900 ETH et une quantité sans nom de jetons de collecte BAYC.
1/ Il y a une logique erronée dans emprunter() du contrat ParaProxy (0x638a) de @ParaSpace_NFT . L’attaquant peut emprunter plus de jetons car son scaledBalance sera agrandi en déposant à la position du proxy (0xC5c9), c’est-à-dire en spécifiant le _recipient de depositApeCoin(). https://t.co/Z4e1QOpLg3 pic.twitter.com/fkd96nAPHb
Les experts ont constaté qu’il suffit à un attaquant potentiel de suivre six étapes pour emprunter des fonds non garantis.
2/ Plus précisément, le scaledBalance est calculé avec la formule suivante : sharesAmount.mul(_getTotalPooledApeBalance()).div(totalShares), tandis que _getTotalPooledApeBalance() peut être manipulé.
Rappelons qu’en 2022, l’industrie du Web3 a perdu environ 3,6 milliards de dollars à la suite de piratages. C’est près de 50% de plus qu’un an plus tôt, ont calculé les experts de Beosin.
Abonnez-vous à ForkLog sur les réseaux sociaux
Vous avez trouvé une erreur dans le texte ? Sélectionnez-le et appuyez sur CTRL + ENTRÉE
Newsletters ForkLog : Gardez le doigt sur le pouls de l’industrie du bitcoin !
