Сеть Port3 подверглась взлому и обнулилась! PORT3 обвалился на 82%, официально объявлено об аннулировании и повторном выпуске.

Децентрализованная AI-сеть данных Port3 Network была взломана из-за уязвимости валидации граничных условий в кроссчейн-токен-схеме CATERC20, что позволило злоумышленникам незаконно выпустить 1 миллиард токенов PORT3 и обрушить цену токена на 82% всего за час. Port3 связалась с централизованными биржами для заморозки подозрительных токенов, а также объявила о перевыпуске токена и развертывании нового смарт-контракта. Токен PORT3 практически обесценился, команда официально опубликует время снимка баланса и инструкции по действиям для пользователей.

Уязвимость CATERC20 превратила децентрализацию в критическую брешь

23 ноября ближе к 14:00 по местному времени Port3 Network объявила в X причину взлома, продемонстрировав, как казавшаяся безопасной кроссчейн-схема может стать катастрофической уязвимостью. Цель PORT3 — поддержка развития мультицепной экосистемы, поэтому был выбран кроссчейн-токен CATERC20 от @nexa_network. Теоретически данная схема позволяет токену обращаться между разными блокчейнами, что очень привлекательно для мультичейн-проектов.

Однако в CATERC20 обнаружена уязвимость граничной проверки: при отказе от владения токеном (renounce ownership) функция возвращает значение 0, что случайно удовлетворяет условию проверки владельца. Такой баг крайне опасен для смарт-контрактов, ведь «отсутствие владельца» ошибочно трактуется как «любой может быть владельцем».

Port3 Network отмечает, что в стремлении к децентрализации команда намеренно отказалась от административных прав, но тем самым невольно оставила лазейку для хакеров. Само это решение соответствует духу криптовалют — децентрализованные проекты обычно на определённом этапе отказываются от полномочий администратора, чтобы гарантировать невозможность манипулирования токеном или функциями контракта. Однако в реализации CATERC20 это благое намерение обернулось фатальной слабостью.

Более того, эта уязвимость не была выявлена в ходе предыдущего аудита безопасности, что говорит об ограничениях современных блокчейн-аудитов. Многие аудиторы проверяют только типовые паттерны уязвимостей, но могут не проводить глубокое тестирование специфичных граничных условий кроссчейн-схем. CATERC20 — относительно малоизвестное решение, и его особая логика верификации могла быть недостаточно понята аудиторами.

Сценарий атаки через уязвимость CATERC20

Шаг первый: Для децентрализации Port3 отказывается от владения контрактом

Шаг второй: После renounce ownership функция возвращает 0

Шаг третий: Хакер замечает, что 0 подходит под условие проверки владельца

Шаг четвертый: Хакер получает право выпуска токенов и незаконно чеканит 1 миллиард PORT3

Шаг пятый: Массовая продажа токенов на рынке вызывает 82% обвал за 1 час

82% обвал за час: биржи экстренно приостановили ввод/вывод

(Источник: CoinMarketCap)

Незаконно созданные хакером 1 миллиард токенов PORT3 нанесли рынку разрушительный удар. Всего за час курс PORT3 упал на 82% — подобная скорость обвала редка даже для крипторынка. Обычно даже при плохих новостях рынку требуется несколько часов или дней для реакции. Но когда на рынок одномоментно выбрасывается огромное количество бесплатных токенов, давление на продажу становится мгновенным и подавляющим.

После инцидента Port3 Network сообщила о контакте с централизованными биржами для заморозки подозрительных токенов. Крупнейшие биржи быстро отреагировали, приостановив ввод и вывод PORT3. Эта экстренная мера была необходима для того, чтобы хакер не смог обналичить токены через биржи и для защиты пользователей, хранивших PORT3 на счетах CEX.

Однако торги на децентрализованных биржах (DEX) остановить невозможно, что и стало одной из причин столь стремительного обвала курса. Хакер мог массово продавать токены на DEX, а обычные инвесторы теряли средства, даже не успев понять, что происходит. Согласно ончейн-данным, большинство транзакций прошло на Uniswap и других DEX — отменить или заморозить такие операции невозможно.

В данный момент токен PORT3 практически обесценился, его курс упал почти до нуля. Для держателей PORT3 это катастрофа: их инвестиции полностью обнулились. Поэтому перевыпуск токена стал единственным возможным решением.

Официальное решение: перевыпуск токена и перезапуск контракта

Столкнувшись с обнулением токена, команда Port3 Network приняла радикальное решение: перевыпустить токен и развернуть новый контракт. Это означает официальное признание существующего PORT3 недействительным и запуск нового токена взамен. Команда объявит время снимка баланса и предоставит инструкцию по обмену старых токенов на новые по определённому коэффициенту.

Подобная «перезагрузка» не уникальна для криптоистории. В 2016 году после взлома The DAO сообщество Ethereum проголосовало за хардфорк с откатом украденных средств, что привело к появлению ETH и ETC. Однако в случае Port3 Network речь идёт не о форке сети, а о перевыпуске токена одного проекта.

Выпуск нового токена требует решения нескольких задач. Во-первых, выбор времени снимка баланса: команда должна зафиксировать балансы всех держателей до атаки. Это важно — слишком ранний снимок упустит легитимные транзакции, слишком поздний — может захватить сделки хакера.

Во-вторых, определение коэффициента обмена. Самый справедливый вариант — 1:1, то есть за 1 старый PORT3 пользователь получает 1 новый токен. Однако, учитывая, что некоторые могли купить токены по обвалившейся цене во время атаки, команде, возможно, придётся разработать более сложную схему распределения.

В-третьих, безопасность нового контракта. Уязвимость исходила из CATERC20, поэтому для нового токена, вероятно, выберут другую технологию. Port3 Network может отказаться от CATERC20 в пользу более проверенных кроссчейн-мостов либо временно сосредоточиться на одной сети, откладывая мультицепную экспансию до полной проверки техники.

Официально также предупреждается — не переходите по неофициальным ссылкам во время обмена токенов, чтобы не стать жертвой фишинга. Это крайне важно: после подобных инцидентов мошенники рассылают фишинговые письма и создают поддельные сайты обмена с целью украсть приватные ключи или seed-фразы. Пользуйтесь только официальными каналами: Twitter, сайт и официальные анонсы.

Будущие вызовы Port3 Network и восстановление доверия сообщества

Этот взлом нанёс Port3 Network ущерб не только финансово, но и с точки зрения доверия. Инвесторы и пользователи могут задаться вопросом: если команда не выявила уязвимость CATERC20 с первого раза, как быть уверенным, что с новым токеном такого не повторится? Если аудит тогда не нашёл баг, можно ли доверять аудиту нового контракта?

Port3 Network необходимо предпринять ряд мер для восстановления доверия. Во-первых — опубликовать прозрачный отчёт о расследовании, подробно описав технические детали уязвимости, способ атаки и процесс реагирования. Во-вторых — привлечь несколько ведущих аудиторских компаний для независимого аудита нового контракта и опубликовать их отчёты. В-третьих — запустить программу баунти для поиска уязвимостей, чтобы стимулировать белых хакеров к поиску потенциальных проблем.

В более широком смысле этот случай — урок для всей криптоиндустрии. Децентрализация — ключевая идея, однако отказываться от административных прав можно только после всестороннего тестирования и убедившись в отсутствии уязвимостей в граничных условиях. Кроссчейн-решения расширяют экосистему, но при интеграции сторонних технологий необходим тщательный due diligence и глубокий технический аудит.