Binance Smart Chain-baserede Qubit Finance blev udnyttet for over 80 millioner dollars af angribere fredag morgen, bekræftede udviklere i et indlæg.
- "Hackeren prægede ubegrænset xETH for at låne på BSC. Holdet arbejder i øjeblikket med sikkerheds- og netværkspartnere om de næste skridt, "sagde udviklere i et tweet.
Protokollen blev udnyttet af;
0xd01ae1a708614948b2b5e0b7ab5be6afa01325c7
Hackeren prægede ubegrænset xETH for at låne på BSC.
Teamet arbejder i øjeblikket med sikkerheds- og netværkspartnere om de næste skridt.
Vi deler yderligere opdateringer, når de er tilgængelige.— Qubit Finance (@QubitFin) Januar 28, 2022
- Adresser forbundet med angrebet viser, at 206,809 binance-mønter (BNB) blev drænet fra Qubits QBridge-protokol. Aktiverne er mere end 80 millioner dollars værd i aktuelle priser, bekræftede sikkerhedsfirmaet PeckShield i en tweet.
- Decentraliserede finansieringsprojekter (DeFi) som Qubit Finance er afhængige af smarte kontrakter i stedet for tredjeparter for at tilbyde finansielle tjenester, såsom handel, udlån og låntagning, til brugerne.
- Qubit giver brugerne mulighed for at levere deres kryptobeholdninger til protokollen og låne lån mod denne sikkerhed mod et fast gebyr. QBridge er en funktion på tværs af kæder, der gør det muligt for brugere at stille sikkerhed for deres aktiver på andre netværk uden at flytte aktiver fra en kæde til en anden.
- PeckShield, som reviderede Qubits smarte kontrakter, sagde, at QBridge blev hacket for at præge en "enorm mængde xETH-sikkerhedsstillelse", som derefter blev brugt til at dræne hele mængden af BNB på QBridge.
- I en hændelsesrapport sagde sikkerhedsfirmaet CertiK, at angriberen brugte en indbetalingsfunktion i QBridge-kontrakten og ulovligt prægede 77,162 qXETH, et aktiv, der repræsenterer ether, der er brokoblet via Qubit. Angribere narrede protokollen for at vise, at de havde indbetalt penge uden at foretage en egentlig indbetaling.
2. Ethereum QBridge fangede indbetalingsbegivenheden og prægede $qXETH for hackeren på #BSC.
QBridge behandler indbetalingsbegivenheden som en indbetalingsbegivenhed #ETH fordi 'deposit' og 'depositETH'-metoderne i #QBridge kontrakten udsender den samme begivenhed. pic.twitter.com/4TzsZqOOtI
— CertiK Security Leaderboard (@CertiKCommunity) Januar 28, 2022
- Disse trin blev gentaget flere gange, og angriberen konverterede derefter alle aktiver til BNB, sagde CertiK i en tweet.
- Udnyttelsen er det syvendestørste angreb på en DeFi-protokol i forhold til mængden af stjålne midler, ifølge data fra analyseværktøjet DeFi Yield.
- Qubits QBT er faldet med 25% i de sidste 24 timer, ifølge data fra CoinGecko. En stor del af faldet skete, efter at formiddagens hændelse blev offentliggjort.
- Qubit-udviklere fortsætter med at overvåge situationen i skrivende stund, som pr tweet.
Kilde: https://www.coindesk.com/markets/2022/01/28/defi-protocol-qubit-finance-exploited-for-80m/