Den decentraliserede applikation FixedFloat lider under et hack på $26 millioner

For et par dage siden led den decentraliserede ikke-KYC-applikation FixedFloat et hackangreb på sin infrastruktur, hvilket resulterede i tab på 26 millioner dollars.

Ifølge revisions- og blockchain-analysefirmaet PeckShield blev der stjålet i alt 1728 ETH og 409 BTC: Nogle af pengene blev derefter hvidvasket ved at passere gennem decentraliserede mixere og coinjoin-transaktioner.

FixedFloat har udtalt, at brugermidler er sikre, og at hacket ikke kompromitterede den finansielle stabilitet af kryptoudvekslingsapplikationen.

Alle detaljer nedenfor.

Sårbarhed i FixedFloats struktur: den decentraliserede applikation lider under et hack på $26 millioner i BTC og ETH

Lørdag den 17. februar blev den decentraliserede cryptocurrency-udvekslingsapplikation FixedFloat offer for et hack, der forårsagede tab på 26 millioner dollars i BTC og ETH.

Det hele startede, da flere brugere rapporterede at opleve frosne transaktioner og manglende midler på deres konti; kort efter blev det opdaget gennem on-chain analyse, at flere millioner dollars var blevet drænet til forskellige ikke-genkendte eksterne tegnebøger.

Selvom det endnu ikke er klart, hvordan angrebet fandt sted, forklarede FixedFloat-teamet omgående, at det var en "lille teknisk problem" på tidspunktet for hændelsen.

Det samme har meddelt, at midlerne vil blive refunderet til platformsbrugerne, og at hacket ikke kompromitterede virksomhedens finansielle stabilitet.

I hvert fald på tidspunktet for skrivning af artiklen den decentrale applikation forbliver inaktiv og i vedligeholdelsestilstand, men det vil blive genåbnet i en uspecificeret fremtid, så snart det er sikkert at bruge.

Her er, hvad der blev rapporteret på X af Fixed FixedFloat efter hacket:

Den decentrale udveksling er kendt for sine ikke-KYC-tjenester, som ikke kræver registrering under den klassiske "Kend din kunde"-procedure, hvilket giver en konkurrencefordel med hensyn til privatlivets fred.

Ved at tilbyde muligheden for at forblive anonym og tillade transaktioner i Bitcoin gennem Lightning Network til sine kunder, har FixedFloat tiltrukket en bred vifte af brugere fra USA.

Dels favoriserede karakteristikken af ​​anonymitet og manglen på interne kontroller det ondsindede hackerangreb, som ikke behøvede at oplyse deres personlige data for at få adgang til applikationen.

Ifølge cybersikkerheds- og blockchain-analysevirksomheden PeckShield, tyveriet beløber sig til netop 1728 ETH, til en værdi af 4.85 millioner dollars, og 409 BTC, til en værdi af næsten 21 millioner dollars.

Det meste af æteren fra hacket er allerede blevet overført til en lang række decentraliserede børser på Ethereum blockchain.

FixedFloat har rapporteret, at de arbejder med retshåndhævelse, blockchain-kriminaltekniske virksomheder og kryptovalutabørser for at opspore hackerne, som endnu ikke har kontaktet børsen. 

Selskabet har erklæret, at det vil honorere alle sine betalingsforpligtelser så snart den genoptager driften og er sikker på, at børsen vil være sikker at bruge igen.

En del af den stjålne BTC fra hacket blev genbrugt gennem en coinjoin-operation

Mens ETH stjålet fra hacket af den decentraliserede applikation FixedFloat nemt er blevet flyttet til snesevis af forskellige adresser og cirkuleret gennem Ethereum blockchain, de BTC, der er en del af det samme bytte, er ved at blive genbrugt med coinjoin-transaktioner.

Vi minder dig om, at coinjoin er en type Bitcoin-operation, teoretiseret for første gang af Gregory Maxwell i 2013, hvor flere BTC-betalinger kombineres til en enkelt transaktion, hvilket gør det svært at afgøre, hvilke adresser der har brugt hvilket beløb.

I lighed med, hvad der sker med decentraliserede mixere som Tornado Cash, kombineres coinjoin-transaktioner sammen for at lave en enkelt transaktion i en fælles pulje, hvorfra indskydere derefter kan anmode om tilbagebetaling af deres "poolede" og anonyme midler.

I vores tilfælde udnyttede hackeren en slags mixer, der bruger en metode til at øge privatlivets fred svarende til coinjoin, hvor flere BTC allerede er blevet udvekslet.

Især kan vi bekræfte, at ifølge det, der blev forklaret af en forsker web3 på X, er en del af de stjålne midler, for at være præcis 2.7544 BTC, strømmet ind på adressen

34F2Jjmzo4N3kz3zVVBbqr3nn6NkvQvNjA, som hører til CEX TradeOgre.

Disse penge kunne repræsentere den kommission betalt af den ondsindede skuespiller for at bruge mixeren, som synes at blive knyttet til Whirpool-applikationen, der implementerer et avanceret privatlivssystem.

Det menes, at 166 ud af de 409 BTC, der er stjålet fra den decentrale applikation FixedFloat, allerede er gået gennem Whirpool-mixeren.

Hændelser som dette er almindelige i kryptografiske miljøer, især i ikke-KYC-miljøer, der på en eller anden måde beskytter hackernes anonymitet.

Ifølge kæden retsmedicinske undersøgelsesvirksomheden Chainalysis, på trods af de talrige hændelser registreret i 2023 hacks og udnyttelser er faldende i forhold til det foregående år, da der var et boom i tyverier.

Samlet set er værdien af ​​hackede midler faldet med omkring 54.3 % sammenlignet med 2022 med et samlet stjålet beløb på cirka 1.7 milliarder dollars, hovedsageligt afledt af DeFi-applikationshack.