Port3: Nguyên nhân bị đánh cắp là do giải pháp token cross-chain CATERC20 tồn tại lỗ hổng xác thực điều kiện biên, sẽ phát hành lại token bằng hợp đồng mới.

Foresight News đưa tin, Port3 Network đã công bố báo cáo phân tích sự cố hacker, PORT3 sử dụng giải pháp token cross-chain CATERC20 của NEXA, trong đó CATERC20 tồn tại lỗ hổng xác thực điều kiện biên. Sau khi quyền sở hữu token bị từ bỏ, giá trị trả về của hàm này là 0, trùng khớp với điều kiện xác thực quyền sở hữu. Do đó, xác thực quyền sở hữu thất bại, tạo điều kiện cho truy cập trái phép. Báo cáo kiểm toán CATERC20 không chỉ ra vấn đề này. Do trước đó Port3 token đã từ bỏ quyền sở hữu nhằm đạt mức phi tập trung cao hơn, nên nó rơi vào trạng thái dễ bị tổn thương này.

Hacker đã phát hiện lỗ hổng xác thực quyền hạn này trong hợp đồng PORT3, thực hiện thao tác RegisterChains để đăng ký địa chỉ của mình là địa chỉ có quyền thực hiện thao tác BridgeIn. Đồng thời, hacker đã triển khai một token giả trên chuỗi Arbitrum One và thực hiện một giao dịch cross-chain. Do hợp đồng token Port3 trên BSC tồn tại lỗ hổng, xác thực đã bị vượt qua một cách sai lầm, dẫn đến việc đúc nhầm 1.1 billions token. Sau đó, hacker đã bán tháo số token này trên các sàn giao dịch phi tập trung (DEX), khiến giá giảm mạnh. Port3 đã liên hệ với các sàn giao dịch lớn, yêu cầu tạm dừng nạp và rút tiền. Tiếp theo, đội ngũ sẽ giải quyết vấn đề này bằng cách phát hành lại token thông qua hợp đồng mới.