Два Avalanche (AVAX) DeFis былі ўзламаныя за адзін дзень

змест

• Адзін дзень, два напады
• ZachXBT прыходзіць на дапамогу: нападнік на качканоса можа быць знойдзены

Сёння, 17 лютага 2023 г., зламыснікі атакавалі два пратаколы дэцэнтралізаванага фінансавання (DeFi) у блокчейне Avalanche (AVAX). Падобна на тое, што даследчыкам у ланцужку ўдалося знайсці як мінімум аднаго хакера.

Адзін дзень, два напады

Каля 11:05 па UTC фірма па бяспецы крыптавалют PeckShield апублікавала папярэджанне аб магчымым узломе DeFi. Dexible, алгарытмічны гандлёвы пратакол DeFi з некалькімі блокчейнамі, які мае версіі для Ethereum (ETH), Avalanche (AVAX), Poly Network (POLY), BNB Chain (BSC) і гэтак далей, страціў больш за 1.5 мільёна долараў з-за ўразлівасці ў сваёй кодавай базе.

Hi @DexibleApp, вам можа спатрэбіцца папрасіць карыстальнікаў адклікаць дазвол! (Страты ўжо складаюць >1.5 мільёна даляраў). Вось адзін хак tx: https://t.co/A076AeXsPz pic.twitter.com/HRQ8MBTSGm

- PeckShield Inc. (@peckshield) Люты 17, 2023

Уразлівасць была знойдзена ў кантракце своп-маршрутызатара. Зламыснік адразу пачаў адмываць сродкі праз міксер Tornado Cash (TORN). Паводле апублікаванага некалькі хвілін таму першага пасмяротнага матэрыялу, рэальны памер стратаў пакуль не падлічаны:

Гэта дазволіла хакеру скрасці сродкі з любога кашалька, у якім было пацверджанне нявыдаткаваных расходаў па кантракце.

Зараз каманда працуе над планам аднаўлення. Усе кантракты прыпыненыя. Учора каманда запрасіла ўсіх карыстальнікаў перайсці на новую версію смарт-кантракту.

Акрамя таго, Platypus, заснаваны на Avalanche дэцэнтралізаваны пратакол стабільных манет, пацярпеў ад атакі на 8.5 мільёна долараў. Зламыснікам удалося арганізаваць атаку на флэш-крэдыт; стейблкойн USP праекта апусціўся ніжэй за $0.5. У супрацоўніцтве з Tether Limited камандзе ўдалося замарозіць сродкі на рахунку USDT зламысніка.

ZachXBT прыходзіць на дапамогу: нападнік на качканоса можа быць знойдзены

Зараз каманда вядзе перамовы з Binance і Circle аб блакаванні астатняй здабычы зламыснікаў.

Дасведчаны даследчык крыптавалют ZachXBT дапамагае камандзе DeFi вярнуць сродкі. Ён сцвярджаў, што выявіў Twitter зламысніка. Зламыснік можа выкарыстоўваць дамен retlqw.eth ENS.

Hi @retlqw так як вы дэактывавалі свой уліковы запіс пасля таго, як я адправіў вам паведамленне.

Я адшукаў адрасы вашага акаўнта ад @Platypusdefi exploit, і я падтрымліваю сувязь з іх камандай і абменам.

Мы хацелі б дамовіцца аб вяртанні сродкаў, перш чым звяртацца да праваахоўных органаў. pic.twitter.com/oJdAc9IIkD

— ZachXBT (@zachxbt) Люты 17, 2023

Пасля гэтай заявы retlqw.eth дэактываваў свае ўліковыя запісы Twitter і Instagram. Аднак ZachXBT здолеў прапанаваць яму ўзнагароду за памылкі ад імя каманды Platypus.