Протокол межсетевого децентрализованного финансирования (DeFi) Rubic был скомпрометирован, в результате чего средства, хранящиеся в адресах его пользователей, были перекачаны и переданы хакерам.
25 декабря протокол Rubic объявил, что один из его контрактов на маршрутизацию был скомпрометирован, и все контракты будут остановлены до полного выяснения ситуации. Объявление гласило:
Создатели протокола также посоветовали своим пользователям отозвать авторизацию контракта с помощью инструмента revoke.cash. В твиттере компании по кибербезопасности блокчейна PeckShield объясняется, что уязвимость в протоколе Rubic привела к потере средств на сумму 1.41 миллиона долларов непосредственно из кошельков, авторизовавших ее смарт-контракты.
Адрес эксплуататора получил средства от Uniswap децентрализованная биржа (DEX) в транзакциях со стабильной монетой USD Coin (USDC). PeckShied объяснил, что взлом стал возможен благодаря ошибочному добавлению USDC в поддерживаемые маршрутизаторы. Кроме того, «отсутствие проверки в ruterCallNative» также позволяло использовать вредоносные контракты.
Быстрый анализ смарт-контракта с помощью chatGPT показывает, что функция ruterCallNative содержит множество потенциальных уязвимостей, в том числе недействительный ввод для параметров «_params» и «_data». Это может позволить злоумышленнику ввести вредоносные данные, которые могут привести к неправильному или непреднамеренному поведению.
Кроме того, параметр «_gateway», передаваемый функции, не имеет ограничений, что потенциально позволяет злоумышленнику создать контракт и выполнить его с помощью контракта RubicProxy.
Действительно, нападавший развернуть пользовательский смарт-контракт, который использовался в атаке. декодированный байт-код показывает 337 строк кода, которые позволили злоумышленнику провести атаку максимально эффективно.
Адрес хакера получил сначала 1,161.55. Эфириума (ETH) и еще один перевод 26.88 ETH, оба из протокола Uniswap, перекачивая исключительно USDC и обменивая его на обернутый эфириум (WETH). Позже все эти WETH были отправлены микшеру в сети и под санкциям. Торнадо Кэш анонимизировать средства, полученные нечестным путем.
Ончейн-анализ показывает, что входящие транзакции на сумму 1.45 миллиона долларов, отправленные в службу анонимизации монет, были отправлены с адреса хакера — при общей входящей стоимости службы около 2.9 миллиона долларов. Другими словами, около половины активов, отправленных сегодня в микшер, были отправлены эксплуататорами.
Несмотря на то, что средства хакера составляют значительную часть объема входящих транзакций сервиса, их анонимность по-прежнему значительна. Депозит может быть среди 2 миллионов долларов, снятых с Tornado Cash сегодня, или среди активов на сумму 174 миллиона долларов, которые все еще депонированы в смарт-контракте.
Tornado Cash — это теперь незаконный протокол DeFi, который позволяет пользователям выполнять анонимные переводы в блокчейне Ethereum. Протокол использует доказательства с нулевым разглашением (ZK-доказательства), чтобы скрыть входные и выходные адреса транзакций. Третьим лицам сложно установить личность сторон, участвующих в сделке, или конкретную цель перевода.
Tornado Cash — это проект с открытым исходным кодом, построенный на основе блокчейна Ethereum и доступный для всех, у кого есть кошелек Ethereum. Пользователи могут взаимодействовать с контрактом Tornado Cash, используя свой кошелек Ethereum или веб-интерфейс, который по-прежнему доступен через службу децентрализованного хостинга InterPlanetary File System (IPFS). Они могут выполнять анонимные переводы ETH или токенов, соответствующие стандарту ERC-20, отправляя свои средства на контракт Tornado Cash и выводя их на новый адрес.
Новости следуют за недавними отчеты что северокорейские хакеры украли около 1.2 миллиарда долларов в криптовалюте и других виртуальных активах за последние пять лет. Большинство этих взломов произошло только в 2021 году.
Источник: https://crypto.news/rubic-dex-aggregator-hack-leads-to-1-4m-of-user-funds-stolen/