PORT3: Nguyên nhân bị tấn công là do lỗ hổng trong CATERC20, sẽ phát hành token mới để giải quyết triệt để vấn đề này

Vào ngày 23 tháng 11, Port3 Network đã đăng tải trên mạng xã hội rằng PORT3 đã áp dụng giải pháp token cross-chain CATERC20 của mạng Nexa để hỗ trợ phát triển đa chuỗi, tuy nhiên giải pháp này tồn tại lỗ hổng xác thực điều kiện biên. Khi quyền sở hữu token bị từ bỏ, giá trị trả về của hàm lại trùng khớp với điều kiện xác thực chủ sở hữu, dẫn đến việc kiểm tra quyền hạn bị vô hiệu hóa, tạo điều kiện cho truy cập trái phép. Lỗ hổng này không được phát hiện trong báo cáo kiểm toán CATERC20. Do token PORT3 trước đó đã từ bỏ quyền sở hữu nhằm tăng cường tính phi tập trung, nên nó rơi đúng vào trạng thái có thể bị khai thác lỗ hổng này. Sau khi hacker phát hiện ra lỗ hổng xác thực quyền hạn này, vào lúc 20:56:24 UTC, họ đã sử dụng địa chỉ 0xb13A...812E để thực hiện thao tác RegisterChains, đăng ký địa chỉ của mình làm địa chỉ được ủy quyền. Sau đó, kẻ tấn công tiếp tục sử dụng các địa chỉ khác như 0x7C2F...551fF để lặp lại phương thức tấn công tương tự. Đội ngũ chính thức đã liên hệ với các sàn giao dịch lớn để tạm dừng dịch vụ nạp rút. Tiếp theo, họ sẽ phát hành lại token đã được sửa lỗi để giải quyết triệt để vấn đề này.