Port3 Network: атака из-за уязвимости CATERC20; выпуск нового токена для решения проблемы

По сообщению BlockBeats от 23 ноября, в официальном заявлении Port3 Network в социальных сетях указано, что PORT3 использовала кроссчейн-решение CATERC20 для поддержки мультичейн-разработки, однако в решении присутствовала уязвимость проверки граничных условий. Когда право собственности на токен было аннулировано, возвращаемое значение функции случайно совпало с условием проверки владельца, что привело к сбою проверки разрешений и позволило получить несанкционированный доступ.

Эта уязвимость не была выявлена в отчете об аудите CATERC20. Поскольку токен PORT3 ранее отказался от владения для повышения децентрализации, он оказался в уязвимом состоянии, которое можно было использовать.

После того как хакер обнаружил этот недостаток проверки авторизации, в 20:56:24 UTC он инициировал операцию RegisterChains с адреса 0xb13A...812E, чтобы зарегистрировать свой адрес как авторизованный. Затем злоумышленник повторил тот же метод атаки с нескольких адресов, таких как 0x7C2F...551fF.

Официальная команда связалась с крупными криптобиржами для приостановки депозитов и выводов средств. Следующие шаги будут включать выпуск исправленной версии токена для полного устранения этой проблемы.