Secondo un report del 20 Marzo della piattaforma di sicurezza blockchain CertiK e visionato da Cointelegraph, un vecchio contratto precedentemente utilizzato dal crypto exchange Dolomite è stato exploitato per circa 1,8 milioni di dollari. L'exploit ha colpito gli utenti che in precedenza avevano autorizzato le approvazioni al contratto e il team di sviluppo ha consigliato di revocare le approvazioni all'indirizzo Ethereum Dolomite che inizia con 0xe2466.
Il team di sviluppo ha affermato che gli utenti che hanno interagito solo con la versione corrente su Arbitrum non dovrebbero essere colpiti. Hanno inoltre disabilitato il contratto difettoso, il che dovrebbe proteggere gli utenti che non sono ancora stati vittime dell'attacco. Tuttavia, il team sostiene che gli utenti dovrebbero revocare le approvazioni a questo contratto.
Dolomite è un exchange decentralizzato e un protocollo di money market che attualmente gira su Arbitrum e Polygon zkEVM. Originariamente è stato lanciato su Ethereum nel 2019. Il team lo ha migrato sulla rete Arbitrum nel 2022 e ha gradualmente eliminato il supporto per la versione Ethereum. A causa della natura immutabile degli smart contract, gli utenti possono ancora interagire con la versione Ethereum utilizzando strumenti per sviluppatori.
Secondo il report di CertiK, l'aggressore ha sfruttato una funzione denominata "callFunction" che consente all'utente di effettuare chiamate arbitrarie. Questa funzione è protetta da un modificatore "noEntry" che, in circostanze normali, dovrebbe impedire qualsiasi attacco di reentrancy. Tuttavia, questa protezione può essere aggirata dal contratto TradeManager situato all'indirizzo 0xe2466, che contiene una funzione "call" priva di protezione dalla reentrancy. Pertanto, l'aggressore è stato in grado di utilizzare questo contratto per sottrarre fondi agli utenti, ha affermato CertiK.
L'aggressore ha trasferito tutti i fondi rubati all'indirizzo 0x5eAA7DadA44d59549A6c58008b2bd3C7F81d2502 e li ha poi depositati su Tornado cash, ha dichiarato Certik.
Questo exploit è uno dei tanti che si sono verificati nel mese di Marzo. L'11 Marzo, il protocollo Unizen su Ethereum ha perso oltre 2,1 milioni di dollari a causa di un exploit di approvazione. In quel caso, il team di sviluppo ha promesso di rimborsare gli utenti il prima possibile. Il 15 Marzo, Mozaic Finance ha subito una perdita di oltre 2,4 milioni di dollari a causa di una compromissione della chiave privata.