Гемблинговое dApp FairWin на основе блокчейна Ethereum прекратило свою работу из-за уязвимости в своем смарт-контракте. Исследователи обнаружили, что администраторы платформы могли в одностороннем порядке изъять весь баланс приложения dApp, по первому желанию.
После раскрытия уязвимости 26 сентября, команда независимых исследователей обнародовала свои выводы. Публикация этой документации спровоцировала резкий исход пользователей из FairWin в уикэнд. Авторы отчета пишут, что администраторы платформы могли похитить ETH в FairWin из-за заложенной ими уязвимости в смарт-контракте приложения. Исследователи обнаружили, что администраторы платформы могут истощить весь баланс приложения dApp, по своему усмотрению. Авторы отчета пишут, что администраторы платформы могли похитить ETH на $8 млн.
Подозрение Филиппа Кастонгуая о FairWin было впервые высказано 11 сентября. Он был предупрежден коллегой, который заметил необычно высокый расход Gas в предыдущем месяце. За этим последовали совместные усилия по анализу кода смарт-контракта автора доклада Дэниела Луки, Гриффа Грина, Гарри Д. и Алексея Матиасевича.
Исследователи обнаружили, что администратор платформы может истощить весь смарт-контракт в предыдущей версии программного обеспечения, а также используя фальшивых членов команды, похитить депозиты пользователей, а также различные другие уязвимости и ошибки в коде. Они также обнаружили, что администраторы платформы имели полный контроль над депозитом пользователей.
Команда решила, что лучшим способом действий будет раскрытие уязвимости. Идея, лежащая в основе такого разоблачения, заключалась в том, что пользователи платформы должны иметь возможность снять свой баланс до того, как одна из уязвимостей может быть использована и их средства пропадут. Тем не менее, они признали повышенный риск такого раскрытия, что могло вызвать более раннюю аферу от администраторов сайта, что и произошло впоследствии.
26 сентября команда начала раскрывать уязвимость. В то время в смарт-контракте хранились токены ETH на $8 млн. Смарт-контракт был быстро отредактирован за выходные и теперь он совершенно пуст. Многочисленные неизвестные адреса получили средства пользователей с их депозитов, и многие пользователи не смогли вернуть свои деньги.
Исследователи приходят к выводу, что нет конкретных доказательств того, что уязвимость контракта была использована. Тем не менее, они отмечают, что не могут сбрасывать со счетов возможность того, что именно администраторы FairWin действовали в выходные дни.
Такие уязвимости в самом активном смарт-контракте на блокчейне Ethereum вызывают озабоченность по поводу множества других проектов, которые были построены в данной сети.
Напомним, ранее мы писали, что Tron поддерживает запрет азартных игр DApp на японском рынке.
Читайте также:
Отчет: Tron показывает отличные результаты в развитии dApps
Baidu презентовал сервис для создания DApp
EDF использует dApp от Ethereum для распределенных вычислений