dApp FairWin было закрыто, а средства пользователей украдены

5 лет назад
dApp FairWin украло средства пользователей 
dApp FairWin украло средства пользователей 

Гемблинговое dApp FairWin на основе блокчейна Ethereum прекратило свою работу из-за уязвимости в своем смарт-контракте. Исследователи обнаружили, что администраторы платформы могли в одностороннем порядке изъять весь баланс приложения dApp, по первому желанию.

Я только что опубликовал «Схему Ponzi Коллапс FairWin ~ $ 125 млн.». В которой мы подробно рассказываем о взлете и падении мошеннического проекта FairWin.

После раскрытия уязвимости 26 сентября, команда независимых исследователей обнародовала свои выводы. Публикация этой документации спровоцировала резкий исход пользователей из FairWin в уикэнд. Авторы отчета пишут, что администраторы платформы могли похитить ETH в FairWin из-за заложенной ими уязвимости в смарт-контракте приложения. Исследователи обнаружили, что администраторы платформы могут истощить весь баланс приложения dApp, по своему усмотрению. Авторы отчета пишут, что администраторы платформы могли похитить ETH на $8 млн.

Подозрение Филиппа Кастонгуая о FairWin было впервые высказано 11 сентября. Он был предупрежден коллегой, который заметил необычно высокый расход Gas в предыдущем месяце. За этим последовали совместные усилия по анализу кода смарт-контракта автора доклада Дэниела Луки, Гриффа Грина, Гарри Д. и Алексея Матиасевича.

Исследователи обнаружили, что администратор платформы может истощить весь смарт-контракт в предыдущей версии программного обеспечения, а также используя фальшивых членов команды, похитить депозиты пользователей, а также различные другие уязвимости и ошибки в коде. Они также обнаружили, что администраторы платформы имели полный контроль над депозитом пользователей.

Команда решила, что лучшим способом действий будет раскрытие уязвимости. Идея, лежащая в основе такого разоблачения, заключалась в том, что пользователи платформы должны иметь возможность снять свой баланс до того, как одна из уязвимостей может быть использована и их средства пропадут. Тем не менее, они признали повышенный риск такого раскрытия, что могло вызвать более раннюю аферу от администраторов сайта, что и произошло впоследствии.

Вот, это и произошло.

26 сентября команда начала раскрывать уязвимость. В то время в смарт-контракте хранились токены ETH на $8 млн. Смарт-контракт был быстро отредактирован за выходные и теперь он совершенно пуст. Многочисленные неизвестные адреса получили средства пользователей с их депозитов, и многие пользователи не смогли вернуть свои деньги.

Исследователи приходят к выводу, что нет конкретных доказательств того, что уязвимость контракта была использована. Тем не менее, они отмечают, что не могут сбрасывать со счетов возможность того, что именно администраторы FairWin действовали в выходные дни.

Такие уязвимости в самом активном смарт-контракте на блокчейне Ethereum вызывают озабоченность по поводу множества других проектов, которые были построены в данной сети.

Напомним, ранее мы писали, что Tron поддерживает запрет азартных игр DApp на японском рынке.

Читайте также: 

Отчет: Tron показывает отличные результаты в развитии dApps 

Baidu презентовал сервис для создания DApp 

EDF использует dApp от Ethereum для распределенных вычислений

Новости по теме

Взлом Penpie

DeFi-площадку Penpie взломали на $27 млн

Аналитики PeckShield сообщили, что хакер, взломавший 3 сентября DeFi-протокол Penpie, получил доступ к криптовалютам стоимостью $27,3 млн
3 месяца назад