Dexible і Platypus DeFis, асушаныя зламыснікамі; ці вернуць хакеры сродкі пацярпелым камандам?
змест
Сёння, 17 лютага 2023 г., зламыснікі атакавалі два пратаколы дэцэнтралізаванага фінансавання (DeFi) у блокчейне Avalanche (AVAX). Падобна на тое, што даследчыкам у ланцужку ўдалося знайсці як мінімум аднаго хакера.
Адзін дзень, два напады
Каля 11:05 па UTC фірма па бяспецы крыптавалют PeckShield апублікавала папярэджанне аб магчымым узломе DeFi. Dexible, алгарытмічны гандлёвы пратакол DeFi з некалькімі блокчейнамі, які мае версіі для Ethereum (ETH), Avalanche (AVAX), Poly Network (POLY), BNB Chain (BSC) і гэтак далей, страціў больш за 1.5 мільёна долараў з-за ўразлівасці ў сваёй кодавай базе.
Hi @DexibleApp, вам можа спатрэбіцца папрасіць карыстальнікаў адклікаць дазвол! (Страты ўжо складаюць >1.5 мільёна даляраў). Вось адзін хак tx: https://t.co/A076AeXsPz pic.twitter.com/HRQ8MBTSGm
- PeckShield Inc. (@peckshield) Люты 17, 2023
Уразлівасць была знойдзена ў кантракце своп-маршрутызатара. Зламыснік адразу пачаў адмываць сродкі праз міксер Tornado Cash (TORN). Паводле апублікаванага некалькі хвілін таму першага пасмяротнага матэрыялу, рэальны памер стратаў пакуль не падлічаны:
Гэта дазволіла хакеру скрасці сродкі з любога кашалька, у якім было пацверджанне нявыдаткаваных расходаў па кантракце.
Зараз каманда працуе над планам аднаўлення. Усе кантракты прыпыненыя. Учора каманда запрасіла ўсіх карыстальнікаў перайсці на новую версію смарт-кантракту.
Акрамя таго, Platypus, заснаваны на Avalanche дэцэнтралізаваны пратакол стабільных манет, пацярпеў ад атакі на 8.5 мільёна долараў. Зламыснікам удалося арганізаваць атаку на флэш-крэдыт; стейблкойн USP праекта апусціўся ніжэй за $0.5. У супрацоўніцтве з Tether Limited камандзе ўдалося замарозіць сродкі на рахунку USDT зламысніка.
ZachXBT прыходзіць на дапамогу: нападнік на качканоса можа быць знойдзены
Зараз каманда вядзе перамовы з Binance і Circle аб блакаванні астатняй здабычы зламыснікаў.
Дасведчаны даследчык крыптавалют ZachXBT дапамагае камандзе DeFi вярнуць сродкі. Ён сцвярджаў, што выявіў Twitter зламысніка. Зламыснік можа выкарыстоўваць дамен retlqw.eth ENS.
Hi @retlqw так як вы дэактывавалі свой уліковы запіс пасля таго, як я адправіў вам паведамленне.
Я адшукаў адрасы вашага акаўнта ад @Platypusdefi exploit, і я падтрымліваю сувязь з іх камандай і абменам.
Мы хацелі б дамовіцца аб вяртанні сродкаў, перш чым звяртацца да праваахоўных органаў. pic.twitter.com/oJdAc9IIkD
— ZachXBT (@zachxbt) Люты 17, 2023
Пасля гэтай заявы retlqw.eth дэактываваў свае ўліковыя запісы Twitter і Instagram. Аднак ZachXBT здолеў прапанаваць яму ўзнагароду за памылкі ад імя каманды Platypus.
Крыніца: https://u.today/two-avalanche-avax-defis-hacked-in-one-day