Контракт Hyperbridge HandlerV1 у мережі Ethereum став мішенню повторної атаки з використанням доказу MMR, збитки — близько 242 000 доларів США

Новини Gate, повідомлення: 13 квітня, за даними моніторингу BlockSec, смарт-контракт Hyperbridge HandlerV1 у мережі Ethereum зазнав атаки з повторним використанням MMR-перевірок, збитки становлять близько 242 тис. доларів США. Ця вразливість дозволяє зловмисникам повторно використовувати раніше прийняті перевірки та поєднувати їх із новоствореними запитами, щоб виконувати привілейовані дії (наприклад, змінювати права адміністратора) з метою отримання прибутку. У HandlerV1 механізм захисту від повторів перевіряє лише те, що зобов’язання запиту (request.hash()) ще не було використано до цього, однак процес перевірки доказів не пов’язує передане навантаження запиту з уже перевіреним доказом. Через цю розбіжність дійсні історичні докази можна повторно використовувати разом із різними шкідливими запитами.