Dexible и Platypus DeFis осушены злоумышленниками; вернут ли хакеры средства пострадавшим командам?
Содержание:
Сегодня, 17 февраля 2023 года, злоумышленники атаковали два протокола децентрализованных финансов (DeFi) на блокчейне Avalanche (AVAX). Похоже, исследователям сети удалось найти хотя бы одного хакера.
Один день, две атаки
Около 11:05 UTC компания по обеспечению безопасности криптовалюты PeckShield опубликовала предупреждение о возможном взломе DeFi. Dexible, многоблочный протокол алгоритмической торговли DeFi, имеющий версии для Ethereum (ETH), Avalanche (AVAX), Poly Network (POLY), BNB Chain (BSC) и т. д., потерял более 1.5 миллиона долларов из-за уязвимости в своей кодовой базе.
Hi @DexibleApp, возможно, вам придется попросить пользователей отменить разрешение! (убыток уже >1.5 млн долларов). Вот один хак tx: https://t.co/A076AeXsPz pic.twitter.com/HRQ8MBTSGm
- PeckShield Inc. (@peckshield) 17 февраля 2023
Уязвимость была обнаружена в контракте подкачки маршрутизатора. Злоумышленник сразу приступил к отмыванию средств через миксер Tornado Cash (TORN). Судя по первому вскрытию, опубликованному несколько минут назад, реальный размер потерь еще предстоит подсчитать:
Это позволило хакеру украсть средства из любого кошелька, у которого было неизрасходованное одобрение на расход по контракту.
Сейчас команда работает над планом восстановления. Все контракты приостановлены. Вчера команда предложила всем пользователям перейти на новую версию смарт-контракта.
Кроме того, Platypus, децентрализованный протокол стейблкоина на основе Avalanche, пострадал от атаки на 8.5 млн долларов. Злоумышленникам удалось организовать атаку flash-кредита; стейблкоин USP проекта упал ниже 0.5 доллара. В сотрудничестве с Tether Limited команде удалось заморозить средства на счете злоумышленника в USDT.
ZachXBT приходит на помощь: злоумышленник Platypus может быть найден
Прямо сейчас команда ведет переговоры с Binance и Circle, чтобы заблокировать остальную часть добычи злоумышленников.
Опытный исследователь криптовалют ZachXBT помогает команде DeFi вернуть средства. Он утверждал, что обнаружил твиттер-аккаунт злоумышленника. Злоумышленник может использовать домен retlqw.eth ENS.
Hi @retlqw так как вы деактивировали свою учетную запись после того, как я отправил вам сообщение.
Я отследил адреса до вашей учетной записи из @Утконосдефи эксплойт, и я на связи с их командой и биржами.
Мы хотели бы договориться о возврате средств, прежде чем обращаться в правоохранительные органы. pic.twitter.com/oJdAc9IIkD
— ЗакXBT (@zachxbt) 17 февраля 2023
После этого заявления retlqw.eth деактивировал свои аккаунты в Twitter и Instagram. Однако ZachXBT удалось предложить ему награду за обнаружение ошибок от имени команды Platypus.
Источник: https://u.today/two-avalanche-avax-defis-hacked-in-one-day