crypto.ru
Компания CertiK сообщила о хакерской атаке на блокчейне Base, в результате которой злоумышленники похитили 55 WETH на сумму около $220 тыс. Инцидент произошел из-за ошибки в неаудированном смарт-контракте, на который один из пользователей ранее выдал разрешение. Эксплойт позволил злоумышленнику провести несанкционированный перевод токенов без участия владельца.
Согласно данным CertiK, уязвимость связана с методом uniswapV3SwapCallback(), в котором отсутствовала корректная проверка прав доступа. Это дало возможность любому пользователю вызывать функцию и инициировать произвольные операции transferFrom, что фактически открыло путь для кражи средств. Эксперты отметили: подобные ошибки часто встречаются в смарт-контрактах, не прошедших аудит безопасности.
Адрес уязвимого контракта — 0xE14…54730. Эксперты CertiK настоятельно рекомендуют пользователям, взаимодействовавшим с этим адресом, немедленно отозвать все ранее выданные разрешения (approvals), чтобы избежать дальнейших потерь. Проверить и отменить доступ можно с помощью инструментов вроде Revoke.cash.
Хакерская активность зафиксирована через систему мониторинга Skylens, где транзакция эксплойта опубликована с идентификатором 0x4449114c…d0d4b27. В отчете указано, что атакующий использовал ранее одобренный токен для проведения транзакции и вывода средств в WETH.
Эксперты CertiK напомнили, что инвесторы должны быть особенно осторожны при взаимодействии с контрактами, не имеющими верификации на блокчейне. Любое одобрение сторонним адресам без проверки кода может привести к полной потере цифровых активов. Инцидент подчеркивает необходимость тщательного аудита и контроля доступа в смарт-контрактах. Платформа Base ранее уже сталкивалась с уязвимостями подобного характера.