Кошелек, развернувший смарт-контракт DAI, скомпрометирован во всех L2-сетях, кроме Arbitrum и Optimism. На это обратил внимание ИБ-исследователь Кристофер Муни.
🚨 DAI Security PSA for wallet providers, block explorers, and users. The L2 DAI deployer (0x075da589886BA445d7c7e81c472059dE7AE65250) for the DAI vanity address (0xDA10009cBd5D07dd0CeCc66161FC93D7c9000da1) has been compromised. (1/7)
— Christopher Mooney (@godsflaw) September 3, 2024По словам эксперта, первоначально адрес DAI был сгенерирован с помощью инструмента Profanity Vanity Address, который позже оказался уязвимым.
"Исходный адрес создан с использованием большого кластера GPU, поэтому мы знали, что злоумышленнику потребуется некоторое время, чтобы найти закрытый ключ. Мы оставили приманку в 1 ETH на адресе и в июле подтвердили эксплойт", — написал Муни.
Он подчеркнул, что средства держателей DAI на Optimism и Arbitrum в безопасности, однако для других сетей это не так. Эксперт уже нашел размещенные злоумышленником вредоносные контракты в блокчейнах Base и Polygon.
Он призвал пометить все экземпляры скомпрометированного смарт-контракта после 2023 года как фишинговые.
Напомним, в конце августа DeFi-платформа MakerDAO в рамках трансформации согласно дорожной карте Endgame представила обновленные версии стейблкоина DAI и governance-токена MKR.