ParaSpace hack in retrospect: $5M rescued, large withdrawals time-locked, hacker wants fees back

Mining

Piratage de ParaSpace rétrospectivement : 5 millions de dollars récupérés, retraits importants bloqués dans le temps, le pirate veut récupérer les frais

ParCryptoFinder 18 mars 202318 mars 2023

La plate-forme de jalonnement crypto et NFT ParaSpace a connu une tentative d’exploit qui a mis 5 millions de dollars en danger, selon divers rapports du 17 mars.

ParaSpace confirme la vulnérabilité

ParaSpace a reconnu une attaque contre ses contrats tôt dans la journée. Il a suspendu son protocole et a déclaré plus tard qu’il avait trouvé la cause de l’exploit.

Le projet a en outre déclaré que tous les fonds des utilisateurs, y compris les NFT, étaient sûrs. ParaSpace a perdu 50 à 150 ETH (moins de 270 000 $) en raison du glissement des prix pendant l’attaque et la reprise. ParaSpace a déclaré qu’il couvrirait ces pertes de protocole. En outre, il a déclaré qu’il fournirait une prime de 5% à BlockSec, qui l’a informé du problème.

Interrogé sur les audits passés, ParaSpace a admis que le problème existait malgré neuf audits de plusieurs entreprises – dont certains ont eu lieu il y a quelques mois à peine.

ParaSpace a déclaré qu’il corrigeait le problème et a noté que la pause du protocole resterait jusqu’à de nouveaux audits. Bien que ParaSpace n’ait pas annoncé de délai de réactivation, il a ajouté une autre limitation : les retraits importants sera verrouillé dans le temps.

BlockSec a intercepté l’attaquant

La société de sécurité crypto BlockSec signalé pour la première fois l’attaque contre ParaSpace à 6 h 50 UTC le 17 mars. À cette époque, il a intercepté le pirate et a sauvé 2 900 ETH (5 millions de dollars). La société a tenté de contacter ParaSpace mais n’a reçu aucune réponse.

Selon BlockSec, une vulnérabilité dans l’un des contrats intelligents de ParaSpace a permis à l’attaquant d’emprunter des jetons supplémentaires via un processus en six étapes.

BlockSec a également révélé dans des déclarations à The Block qu’il avait utilisé le propre exploit du pirate – même en redéployant une version du contrat d’attaque d’origine – pour récupérer de force les fonds volés. BlockSec a détenu les fonds récupérés et les a rendus à ParaSpace.

Le hacker plus tard a envoyé un message à BlockSec dans une transaction blockchain qui demandait le remboursement de 0,7 ETH (1 250 $) de frais de gaz. L’attaquant a écrit: « J’ai perdu beaucoup d’argent en essayant de le faire fonctionner » et a ajouté: « ce serait cool d’obtenir au moins une partie de [that money] dos. »

ParaSpace est une plate-forme qui permet aux utilisateurs de miser d’autres actifs, y compris des jetons non fongibles (NFT) et des jetons ERC-20. Son site annonce le jalonnement du Bored Ape Yacht Club (BAYC), bien que les deux projets ne soient pas officiellement associés.

Le piratage post-ParaSpace rétrospectivement : 5 millions de dollars récupérés, d’importants retraits bloqués dans le temps, le pirate veut récupérer les frais est apparu en premier sur CryptoSlate.