Взлом DeFi-платформы 1inch на $5 млн из-за уязвимости смарт-контракта
Децентрализованный обменный агрегатор 1inch подтвердил потерю криптовалюты на сумму в $5 миллионов из-за уязвимости в смарт-контракте, которую использовал хакер.
5 марта 1inch обнаружила уязвимость, затрагивающую резолверы — сущности, выполняющие ордера, — использовавшие устаревшую реализацию Fusion v1. Эта информация стала публичной на следующий день.
Источник: 1inch Network
Отслеживание взлома 1inch на $5 миллионов
7 марта фирма по безопасности блокчейна SlowMist с помощью анализа блокчейна выявила, что хакер унес 2,4 миллиона USDC и 1276 токенов Wrapped Ether (WETH).
Источник: SlowMist
По данным 1inch, хакер украл средства только у резолверов, использующих Fusion v1 в своих контрактах, и средства конечных пользователей в безопасности:
«Мы активно работаем с пострадавшими резолверами для защиты их систем. Мы настоятельно рекомендуем всем резолверам провести аудит и обновить свои контракты немедленно.»
Платформа объявила о программах вознаграждений за нахождение багов для предотвращения других уязвимостей в системе и возврата украденных средств.
Попытка 1inch вернуть украденные средства маловероятна, если только хакер не согласится их вернуть. Ранее уязвимые криптопротоколы смогли вернуть большую часть средств после того, как атакующие согласились оставить себе 10% в качестве вознаграждения "белого" хакера, как это было в случае с криптолендером Shezmu.
Северокорейские хакеры, стоящие за взломом Bybit на $1,5 миллиарда — крупнейшего ограбления в истории криптовалюты — сумели вывести всю сумму, несмотря на скоординированные усилия криптосообщества по возврату средств.
Хакеры похитили различные суммы Liquid-Staked Ether (STETH), Mantle Staked ETH (mETH) и другие токены стандарта ERC-20 из Bybit.
Bybit на медленном пути к восстановлению
Несмотря на внезапную утрату средств, Bybit удалось позволить пользователям беспроблемное снятие средств, быстро взяв займы у других криптокомпаний, которые были погашены позже.
Хакерам Bybit потребовалось 10 дней, чтобы отмыть $1,4 миллиарда в украденных криптовалютах. Некоторые из отмытых средств могут оставаться доступными для отслеживания, несмотря на обмены активов, по мнению Дедди Лавида, сооснователя и генерального директора фирмы по безопасности блокчейнов Cyvers:
«Хотя отмывание через миксеры и кроссчейн-свапы усложняет возврат средств, компании по кибербезопасности, используя информацию о цепочке, модели на основе ИИ и сотрудничество с биржами и регуляторами, все еще имеют небольшие шансы отследить и потенциально заморозить активы.»
THORChain, протокол кроссчейн-свапов, который, как сообщается, был активно использован хакерами для вывода средств, испытал всплеск активности после взлома Bybit.