DeFis Dexible in Platypus, ki so jih izčrpali napadalci; bodo hekerji vrnili sredstva prizadetim ekipam?
Danes, 17. februarja 2023, sta dva protokola za decentralizirano financiranje (DeFi) v blokovni verigi Avalanche (AVAX) napadli zlobneži. Videti je, da je raziskovalcem v verigi uspelo najti vsaj enega hekerja.
En dan, dva napada
Približno ob 11 zjutraj po UTC je varnostno podjetje za kriptovalute PeckShield objavilo opozorilo o možnem vdoru v DeFi. Dexible, protokol DeFi za algoritemsko trgovanje z več verigami blokov, ki ima različice za Ethereum (ETH), Avalanche (AVAX), Poly Network (POLY), BNB Chain (BSC) in tako naprej, je izgubil več kot 05 milijona USD zaradi ranljivosti v svoji kodni bazi.
Hi @DexibleApp, boste morda morali od uporabnikov zahtevati preklic dodatka! (Izguba je že >1.5 milijona $). Tukaj je en hack tx: https://t.co/A076AeXsPz pic.twitter.com/HRQ8MBTSGm
- PeckShield Inc. (@peckshield) Februar 17, 2023
Ranljivost je bila najdena v pogodbi o zamenjavnem usmerjevalniku. Napadalec je takoj začel s pranjem sredstev prek mešalnika Tornado Cash (TORN). Glede na prvo obdukcijo, ki je bila objavljena pred nekaj minutami, dejanski obseg izgube še ni izračunan:
To je hekerju omogočilo krajo sredstev iz katere koli denarnice, ki je imela neporabljeno odobritev porabe v pogodbi.
Trenutno ekipa dela na obnovitvenem načrtu. Vse pogodbe so začasno ustavljene. Včeraj je ekipa povabila vse uporabnike k prehodu na novo različico pametne pogodbe.
Poleg tega je Platypus, decentralizirani protokol stabilnega kovanca, ki temelji na Avalancheu, utrpel napad v vrednosti 8.5 milijona dolarjev. Zlonamerjem je uspelo organizirati napad na hitro posojilo; USP stablecoin projekta je padel pod 0.5 $. V sodelovanju s podjetjem Tether Limited je ekipi uspelo zamrzniti sredstva na napadalčevem računu USDT.
ZachXBT priskoči na pomoč: morda se najde napadalec Platypus
Trenutno se ekipa pogovarja z Binance in Circle, da bi zaklenila preostanek napadalčevega plena.
Izkušen raziskovalec kriptovalut ZachXBT pomaga ekipi DeFi pri izterjavi sredstev. Trdil je, da je odkril Twitter račun napadalca. Napadalec morda uporablja domeno retlqw.eth ENS.
Hi @retlqw ker ste deaktivirali svoj račun, potem ko sem vam poslal sporočilo.
Izsledil sem naslove do vašega računa od @Platypusdefi exploit in sem v stiku z njihovo ekipo in izmenjavami.
Preden se obrnemo na organe pregona, se želimo pogajati o vračilu sredstev. pic.twitter.com/oJdAc9IIkD
- Zachxbt (@zachxbt) Februar 17, 2023
Po tej izjavi je retlqw.eth deaktiviral svoja računa Twitter in Instagram. Vendar mu je ZachXBT v imenu ekipe Platypus uspelo ponuditi nagrado za hrošče.
Vir: https://u.today/two-avalanche-avax-defis-hacked-in-one-day