OKX promet le remboursement aux utilisateurs suite au piratage de DEX en raison d’un contrat intelligent obsolète
L’agrégateur OKX DEX a été confronté à une faille de sécurité importante impliquant un contrat intelligent obsolète le 12 décembre. Cet incident a entraîné des mesures prises par OKX pour sécuriser les actifs des utilisateurs et révoquer les autorisations pour le contrat compromis. La violation, entraînant une perte d’environ 370 000 $, a incité l’entreprise à annoncer qu’elle allait rembourser les utilisateurs concernés alors qu’ils se coordonnent avec les autorités pour retrouver les fonds volés. Un examen complet est actuellement en cours pour éviter de telles vulnérabilités à l’avenir.
Une déclaration officielle de l’équipe OKX web3 a déclaré :
«Nous avons le regret de vous informer qu’un contrat intelligent obsolète sur OKX Dex a été compromis. Nous avons pris des mesures immédiates pour sécuriser tous les fonds des utilisateurs et révoquer les autorisations contractuelles.
Nous travaillons avec les agences compétentes pour localiser les fonds volés et rembourserons les utilisateurs concernés à hauteur de 370 000 $. Un examen approfondi est en cours pour éviter des incidents similaires. Nos excuses pour tout inconvénient causé.
Entreprise de sécurité blockchain SlowMist identifié une fuite potentielle de la clé privée du propriétaire de l’administrateur proxy associé à OKX DEX. Une séquence d’activités suspectes a été observée, à commencer par la mise à niveau du contrat de proxy DEX vers une nouvelle implémentation. Ce nouveau contrat avait la capacité d’appeler directement la fonction ClaimTokens du contrat DEX, ce qui conduisait à des transferts de jetons non autorisés.
Le proxy DEX a de nouveau été mis à niveau plus tard dans la soirée, poursuivant les transferts illicites de jetons. Environ 430 000 jetons ont été volés au cours de cette période, ce qui suggère que la violation était due à la fuite de la clé privée du propriétaire de l’administrateur proxy. Le proxy DEX a été supprimé de la liste de confiance à titre de mesure corrective.
Les jetons volés incluent des projets notables tels que USDC, USDT, Pepe, WETH, Rollbit, SLP et SHIBA INU sur un total de 31 transactions dans le portefeuille désormais étiqueté « OKX Exploiter 2 » sur Etherscan.
Entreprise de sécurité Cyvers indiqué que la perte totale estimée pourrait atteindre 1,1 million de dollars, une partie des fonds volés étant déposée chez Railgun et distribuée sur divers comptes externes (EOA). L’attaquant aurait été financé par Tornado Cash.
Le message OKX promet le remboursement aux utilisateurs suite au piratage DEX en raison d’un contrat intelligent obsolète apparaît en premier sur CryptoSlate.