Atsiras, decentralizuotas „StableCoin“ protokolas, susijęs su pagrindiniais „Defi“ žaidėjais, išgaubtomis finansais ir „Yexn Finance“, patyrė 9,5 mln. USD išnaudojimą.
„Blockchain“ apsaugos firmos, įskaitant „BlockSec Phalcon“ ir „Certik“, nuskambėjo aliarmui, išsamiai aprašydamos ataką, kuria pasinaudojama valiutų kurso manipuliacija mažo skysčio rinkoje.
Išnaudokite detales
Anot „Phalcon“, užpuolikas dirbtinai padidino „CVCRVUSD“ žetono kainą per tikslines „aukas“ į ypač ploną ar tuščią rinką. „Certik“ patvirtino šią informaciją ir pridūrė, kad „Hacker“ iš „Morpho“ išleido 4000 USDc USD, kad inicijuotų išnaudojimą.
Tada, kaip pranešama, jie panaudojo manipuliuojamą kainą kaip vardiklį, skaičiuodami sutarties valiutos kursą, ir kadangi sistema naudojo grindų padalijimą, tai leido jiems suapvalinti normą iki nulio.
Po to, sakoma, blogas aktorius pasiskolino beveik 10 milijonų dolerių vertės „ReSD“ žetonų nuo nereikšmingo įkaito kiekio, apie vieną CVCRVUSD WEI, visiškai apeinant bet kokius mokumo patikrinimus. Pasitraukę, jie greitai pakeitė žetonus per kreivę ir „Uniswap“ USDC ir apvyniojo „Ethereum“ (Weth), uždirbdami grynąjį pelną 9,5 mln. USD.
Papildoma „Peckshield“ analizė parodė, kad eksploatavimo taškas buvo operacija dėl karvių apsikeitimo, apimančio 2 ETH, kuris vėliau buvo įtrauktas į „Tornado“ grynuosius pinigus už anonimiškumą. Praėjęs per maišytuvą, užpuolikas prieš naudodama ją, kad suaktyvino pažeidžiamumą, kuris leido jiems pasiskolinti ir išgauti apie 1 581 ETH, įveikė lėšas į išnaudojimo sutartį.
„X“ įraše „Certik“ pažymėjo, kad išnaudotojas perkėlė apie 5,56 mln. USD į vieną adresą, o 4 mln.
Nuo to laiko atsipalaidavimas patvirtino pažeidimą per savo oficialią X sąskaitą. Platforma paskelbė, kad pristabdė paveiktą rinką, tačiau teigė, kad kitos operacijos tęsis normaliai. Jis taip pat teigė, kad per artimiausias kelias dienas pateiks pilną pomirtinę.
Platesnis modelis
Šis paskutinis išpuolis įvyks šiek tiek daugiau nei savaitę po 49 milijonų dolerių vertės Irano kriptovaliutų „Exchange Nobitex“, kuris buvo priskirtas Izraelio įsilaužėlių grupei „Gonjeshke Darande“.
Anksčiau gegužę sui įsikūrusi „Dex Cetus“ patyrė daug didesnį išnaudojimą ir prarado apie 223 milijonus dolerių. Tame įvykyje, kaip pranešama, nežinomas kaltininkas įgijo visų SUI denominuotų likvidumo baseinų kontrolę Cetus prieš juos išveždamas.
Netrukus po išpuolio, padedant SUI patvirtintojams, Cetus sugebėjo užšaldyti dvi pinigines, turinčias apie 162 milijonų dolerių vertės pavogtas kriptovaliutas. Tačiau vagis vis dar sugebėjo įveikti beveik 60 milijonų dolerių vertės žetonų į Ethereum, kur jie pakeitė juos į ETH. Nuo to laiko DEX inicijavo planus kompensuoti atakos paveiktus vartotojus.
Tuo pat metu blogi veikėjai vis labiau nukreipia patikimą kriptovaliutų informaciją ir duomenų platformas. Buvęs „Binance“ generalinis direktorius Changpengas Zhao neseniai pabrėžė tendenciją, nurodydamas greito gaisro išpuolius prieš „CoinmarketCap“ ir „Cointelegraph“, kad būtų galima panaudoti piniginės išvežimo sukčiavimo iššokančiuosius iššokimus, o tai buvo perėjimas nuo labiau pažįstamų tiesioginių įsilaužimo bandymų dėl kriptovaliutų.
„Binance Free“ 600 USD (išskirtinė „Cryptopotato“): naudokite šią nuorodą, kad užregistruotumėte naują sąskaitą ir gautumėte 600 USD išskirtinį pasveikinimo pasiūlymą „Binance“ (Išsami informacija).
Ribotas pasiūlymas „Cryptopotato“ skaitytojams „BYBIT“: naudokite šią nuorodą norėdami registruoti ir atidaryti 500 USD nemokamą vietą bet kurioje monetoje!
