Stars Arena, платформа на базе блокчейна Avalanche, всего за несколько дней подверглась двум крупным атакам, в результате которых понесла убытки в несколько миллионов долларов. Несмотря на то что смарт-контракт приложения был полностью опустошен, команда Stars Arena объявила, что платформа вскоре будет перезапущена с восстановлением всех средств пользователей.
Stars Arena стала жертвой второй за несколько дней атаки
Stars Arena, форк friend.tech, размещенный на блокчейне Avalanche, вскоре после запуска лишился почти 3 млн долл. из-за дефекта в одном из смарт-контрактов.
Двумя днями ранее из-за аналогичного дефекта Stars Arena уже лишилась 2 тыс. долл. В то время как команды проекта защищались, утверждая, что злоумышленники провели против них «скоординированную атаку», многие наблюдатели, в том числе 0xlilitch и 0xfoobar, яростно атаковали Stars Arena.
Так, 0xfoobar, основатель Delegate, обвинил их в том, что они скопировали функциональный смарт-контракт и добавили в него возможности для атаки:
«Вы взяли полностью функциональный базовый контракт и каким-то образом добавили новые векторы атак в свой непроверенный форк. Удалите свой аккаунт и продукт, это цирк. «
Как и его конкурент friend.tech, Stars Arena позволяет приобретать доли в профилях знаменитостей в приложении. Чем больше людей имеют доли в профиле, тем выше цена доли в этом профиле.
В этот раз, по данным компании PeckShield, занимающейся вопросами безопасности блокчейна, злоумышленник осуществил атаку reentrance, что позволило ему перепродать акции по ценам, значительно превышающим их реальную стоимость.
Наш первоначальный анализ сегодняшнего взлома @starsarenacom на сумму 2,9 млн долл. указывает на проблему реентерабельности на Stars Arena: контракт на акции заключен на https://t.co/Hg6C8MCPan
Реентерация используется для обновления веса при выпуске акции/билета, так что 1 акция может быть продана по гораздо более высокой цене… https://t.co/17CxO3uLbe pic.twitter.com/fouVjevYTs
— PeckShield Inc. (@peckshield) October 7, 2023
Позже компания Stars Arena подтвердила факт атаки на X, призвав своих пользователей прекратить пополнение счета на ее платформе.
Даже с опустошенным смарт-контрактом проект намерен развиваться с новой силой
Сегодня днем Stars Arena вновь вышла на связь в сети X, чтобы успокоить своих пользователей. По словам команд, отвечающих за проект, приложение будет вновь открыто в ближайшее время со «всеми средствами в полном объеме» :
Важная новость: мы обеспечили ресурсы для закрытия бреши, вызванной эксплойтом.
Кроме того, к работе приступает специальная команда «белых шляп» для оперативной проверки безопасности платформы.
Мы вновь откроем контракт с выплатой всех средств в полном объеме после полной проверки безопасности…
— Stars Arena (@starsarenacom) Октябрь 7, 2023
«Важная новость: мы обеспечили ресурсы, необходимые для ликвидации бреши, образовавшейся в результате применения эксплойта. Кроме того, к нам прибывает специальная команда «белошляпных» разработчиков для оперативной проверки безопасности платформы. Мы возобновим контракт с полным финансированием после проведения полного аудита безопасности. Это произойдет очень скоро. Увидимся на Spaces через несколько часов. Мы никуда не уходим. Арена движется дальше. «
Эмин Гюн Сирер, основатель Avalanche, пришел на помощь платформе на сайте X, заявив, что «Stars Arena — прибыльный продукт» и что благодаря прибыльности приложения украденная сумма, почти 3 млн долларов, может быть возвращена «примерно за десять дней».
Подобно тому, что мы наблюдали на блокчейне Ethereum для friend.tech во время его пика, ажиотаж, вызванный запуском Stars Arena, в одно мгновение привел к росту транзакционных комиссий на Avalanche. Это также привело к росту цены токена AVAX, хотя в настоящее время она снова снизилась. На момент написания статьи
цена AVAX составляет около 10,4 долл.