Stars Arena, una piattaforma basata sulla blockchain Avalanche, ha subito due gravi attacchi in pochi giorni, con perdite per diversi milioni di dollari. Sebbene lo smart contract dell’applicazione sia stato completamente svuotato, i team di Stars Arena hanno annunciato che la piattaforma sarà presto rilanciata con il ripristino di tutti i fondi degli utenti.
Stars Arena vittima di un secondo attacco in pochi giorni
Stars Arena, un fork di friend.tech ospitato sulla blockchain Avalanche, è stato privato di quasi 3 milioni di dollari poco dopo il suo lancio a causa di una falla in uno dei suoi smart contract.
Due giorni prima, Stars Arena era già stata derubata di 2.000 dollari per un difetto simile. Mentre i team del progetto si sono difesi sostenendo che attori malintenzionati avevano condotto un “attacco coordinato” contro di loro, molti osservatori, tra cui 0xlilitch e 0xfoobar, hanno attaccato virulentemente Stars Arena.
0xfoobar, ad esempio, il fondatore di Delegate, li ha accusati di aver copiato uno smart contract funzionale e di avervi aggiunto opportunità di attacco:
“Avete preso un contratto base completamente funzionale e in qualche modo avete aggiunto nuovi vettori di attacco nel vostro fork non verificato. Cancella il tuo account e il tuo prodotto, questo è un circo. “
Come il suo concorrente friend.tech, Stars Arena consente di acquisire azioni nei profili delle celebrità presenti nell’applicazione. Più persone hanno azioni in un profilo, più alto è il prezzo di un’azione in quel profilo.
Questa volta, secondo la società di sicurezza blockchain PeckShield, l’aggressore ha effettuato un attacco di rientro, che gli ha permesso di rivendere le azioni a prezzi molto più alti del loro prezzo reale.
La nostra analisi iniziale sull’hack di oggi @starsarenacom da 2,9 milioni di dollari indica un problema di reentrancy sulla Stars Arena: le azioni si contraggono a https://t.co/Hg6C8MCPan
La rientranza viene abusata per aggiornare il peso quando viene emessa l’azione/biglietto in modo che 1 azione possa essere venduta a un prezzo molto più alto… https://t.co/17CxO3uLbe pic.twitter.com/fouVjevYTs
– PeckShield Inc. (@peckshield) 7 ottobre 2023
Stars Arena ha poi confermato l’attacco a X, invitando i suoi utenti a non depositare più fondi sulla sua piattaforma.
Anche con uno smart contract svuotato, il progetto intende andare di bene in meglio
Questo pomeriggio, Stars Arena ha comunicato nuovamente su X per rassicurare i suoi utenti. Secondo i team responsabili del progetto, l’applicazione riaprirà a breve con “tutti i fondi al completo” :
Notizia importante: abbiamo assicurato le risorse per colmare la lacuna causata dall’exploit.
Inoltre, è in arrivo uno speciale team di sviluppo white hat per rivedere rapidamente la sicurezza della piattaforma.
Riapriremo il contratto con tutti i fondi dopo una completa messa in sicurezza…
– Stars Arena (@starsarenacom) 7 ottobre 2023
” Notizie importanti: abbiamo messo a disposizione le risorse necessarie per colmare la lacuna causata dall’exploit. Inoltre, è in arrivo un team speciale di sviluppatori white hat per rivedere rapidamente la sicurezza della piattaforma. Riapriremo il contratto con un finanziamento completo dopo un audit di sicurezza completo. Questo avverrà molto presto. Ci vediamo su Spaces tra poche ore. Non andiamo da nessuna parte. L’Arena sta andando avanti”.
Emin Gün Sirer, il fondatore di Avalanche, è venuto in soccorso della piattaforma su X, sostenendo che “Stars Arena è un prodotto redditizio” e che la somma rubata, quasi 3 milioni di dollari, potrebbe essere recuperata “in una decina di giorni” grazie alla redditività dell’app.
Proprio come abbiamo visto sulla blockchain di Ethereum per friend.tech al suo apice, l’eccitazione generata dal lancio di Stars Arena ha momentaneamente causato un aumento delle commissioni di transazione su Avalanche. Questo ha portato anche a un aumento del prezzo del token AVAX, anche se ora è sceso. AVAX è scambiato a circa 10,4 dollari al momento in cui scriviamo