Разработчики протокола децентрализованного обмена AirSwap сообщили об обнаружении критической уязвимости в своём новом смарт-контракте, запущенном в основной сети Ethereum.
«Уязвимость позволяла организатору атаки при определённых условиях осуществлять своп без запроса подписи контрагента», – объясняют они.
Уязвимость была обнаружена 12 сентября и просуществовала в системе AirSwap менее 24 часов. Она затрагивала «некоторых пользователей» AirSwap Instant с полудня 11 сентября до момента устранения следующим утром. Изначально было выявлено 20 аккаунтов, которые могли пострадать от описанной атаки, но вскоре их число снизилось до 10.
После выявления уязвимости команда проекта немедленно откатила контракт AirSwap Instant до предыдущей версии. В настоящее время клиентским активам ничего не угрожает. Пользователям, кошельки которых указаны в публикации AirSwap, необходимо перейти по адресу https://authorizations.airswap.io/, чтобы отменить авторизации в содержащем баг смарт-контракте. Все новые депозиты указанных адресов также считаются уязвимыми до момента отзыва авторизации.
Команда проекта перевела токены находящихся в зоне риска пользователей на некастодиальный смарт-контракт. Только они сами могут получить эти токены в соответствии с предоставленной инструкцией.
В завершение разработчики извиняются за допущение этой ситуации и отмечают, что смарт-контракты как область программного обеспечения продолжают привлекать изобретательных хакеров.
AirSwap разрабатывается силами компании Fluidity при поддержке Ethereum-студии ConsenSys. В конце 2017 года проект провёл начальное размещение токенов (ICO), собрав тогда $33 млн.
