Giorno: 16 settembre 2024 | Ora: 16:37

Attacco al Protocollo DeFi Delta Prime: Un Furto da 6 Milioni di Dollari

Un hacker è riuscito a sottrarre oltre 6 milioni di dollari dal protocollo di finanza decentralizzata (DeFi) Delta Prime, creando un numero arbitrariamente elevato di token di ricevuta di deposito. Questo articolo esplora i dettagli dell'attacco e le vulnerabilità esposte dal protocollo.

Strategia dell'Attaccante

Secondo i dati forniti dal block explorer Arbiscan, l'attaccante ha creato oltre 115 duovigintillion di token Delta Prime USD (DPUSDC), equivalenti a più di 1.1*10^69 in notazione scientifica. Il DPUSDC è una ricevuta di deposito per il stablecoin USDC detenuto presso Delta Prime, progettato per essere riscattato in un rapporto 1:1 per l'USDC. Nonostante la creazione di una quantità così enorme di ricevute di deposito, l'attaccante ha bruciato solo 2,4 milioni di token, ottenendo in cambio 2,4 milioni di dollari in USDC.

Dettagli dell'Attacco e Token Riscattati

Successivamente, l'attaccante ha ripetuto questa operazione con altri token di ricevuta di deposito, generando oltre 1 duovigintillion di Delta Prime Wrapped Bitcoin (DPBTCb), 115 octodecillion di Delta Prime Wrapped Ether (DPWETH) e 115 octodecillion di Delta Prime Arbitrum (DPARB). Alla fine, ha riscattato solo una piccola frazione della quantità coniata, ottenendo oltre 1 milione di dollari in Bitcoin (BTC), Ether (ETH), Arbitrum (ARB) e altri token. Secondo il specialista di sicurezza blockchain Chaofan Shou, l'attaccante ha rubato circa 6 milioni di dollari in totale.

Vulnerabilità dei Contratti Aggiornabili

L'attaccante è riuscito a creare questi token di ricevuta di deposito dopo aver guadagnato il controllo di un account admin, identificato dalla sigla b1afb, probabilmente rubando la chiave privata dello sviluppatore. Utilizzando questo account, ha chiamato una funzione di "aggiornamento" su ciascun contratto del pool di liquidità del protocollo. Queste funzioni sono normalmente destinate agli aggiornamenti software, ma l'attaccante le ha utilizzate per indirizzare ciascun proxy a un contratto malevolo da lui creato, consentendogli di generare un numero arbitrariamente elevato di ricevute di deposito e di drenare i fondi da ciascun pool.

Risposta di Delta Prime e Considerazioni Finali

Delta Prime ha riconosciuto l'attacco in un post su X, affermando che "alle 6:14 AM CET DeltaPrime Blue (Arbitrum) è stato attaccato e drenato per 5,98 milioni di dollari." Hanno anche dichiarato che la versione Avalanche, DeltaPrime Blue, non è vulnerabile all'attacco e che l'assicurazione del protocollo "coprirà eventuali perdite potenziali dove possibile/necessario."

Questo attacco mette in luce i rischi associati ai protocolli DeFi che utilizzano contratti aggiornabili. Sebbene l'ecosistema Web3 sia progettato per prevenire che le violazioni delle chiavi private compromettano l'intero protocollo, l'elemento di centralizzazione introdotto dai contratti aggiornabili può comportare perdite di fondi per l'intero gruppo di utenti. La comunità degli sviluppatori Web3 continua a dibattere su quando i protocolli dovrebbero consentire o meno aggiornamenti.

Il Futuro della Sicurezza nei Contratti Smart

Le vulnerabilità dei contratti smart rimangono una minaccia per gli utenti di Web3. Ad esempio, l'11 settembre, un attaccante ha drenato oltre 1,4 milioni di dollari da un pool di liquidità del token CUT utilizzando una linea di codice oscura che puntava a una funzione non verificata su un contratto separato. Il 3 settembre, oltre 27 milioni di dollari sono stati sottratti dal protocollo Penpie dopo che l'attaccante ha registrato con successo il proprio contratto malevolo come mercato del token.