PORT3: Ang dahilan ng pag-atake ay dahil sa kahinaan ng CATERC20, maglalabas ng bagong token upang ganap na malutas ang isyung ito

Noong Nobyembre 23, ayon sa opisyal na pahayag ng Port3 Network sa social media, ang PORT3 ay gumamit ng cross-chain token solution ng Nexa network na tinatawag na CATERC20 upang suportahan ang multi-chain development. Gayunpaman, natuklasan na mayroong vulnerability sa boundary condition verification ng nasabing solusyon. Kapag ang pagmamay-ari ng token ay isinuko, ang return value ng function ay eksaktong tumutugma sa owner verification condition, na nagdudulot ng failure sa permission check at nagiging posible ang hindi awtorisadong pag-access. Ang vulnerability na ito ay hindi natukoy sa CATERC20 audit report. Dahil ang PORT3 token ay isinuko na ang pagmamay-ari upang mapalakas ang desentralisasyon, ito ay naging eksaktong nasa estado na maaaring ma-exploit ang nasabing vulnerability. Matapos matuklasan ng hacker ang kakulangan sa authorization verification, noong 20:56:24 UTC, naglunsad siya ng RegisterChains operation gamit ang address na 0xb13A...812E upang irehistro ang sarili bilang authorized address. Inulit ng attacker ang parehong paraan ng pag-atake mula sa iba pang mga address gaya ng 0x7C2F...551fF. Nakipag-ugnayan na ang opisyal sa mga pangunahing palitan upang pansamantalang itigil ang deposit at withdrawal services. Susunod, lulutasin nang buo ang isyung ito sa pamamagitan ng muling paglalabas ng naayos na bersyon ng token.