Dexible og Platypus DeFis drænet af angribere; vil hackere returnere penge til berørte hold?
I dag, den 17. februar 2023, blev to decentraliserede finansprotokoller (DeFi) på Avalanche (AVAX) blockchain angrebet af ondsindede. Det ser ud til, at on-chain-forskere formåede at finde mindst én hacker.
En dag, to angreb
Omkring klokken 11:05 UTC udsendte cryptocurrency-sikkerhedsfirmaet PeckShield en advarsel om et muligt DeFi-hack. Dexible, en multi-blockchain algoritmisk handel DeFi protokol, der har versioner på Ethereum (ETH), Avalanche (AVAX), Poly Network (POLY), BNB Chain (BSC) og så videre, tabte over $1.5 millioner på grund af sårbarhed i sin kodebase.
Hi @DexibleApp, skal du muligvis bede brugerne om at tilbagekalde godtgørelsen! (Tabet er allerede >1.5 mio. USD). Her er et hack tx: https://t.co/A076AeXsPz pic.twitter.com/HRQ8MBTSGm
- PeckShield Inc. (@peckshield) Februar 17, 2023
Sårbarheden blev fundet i en swap-routerkontrakt. Angriberen begyndte straks at hvidvaske penge gennem Tornado Cash (TORN) mixer. Ifølge den første obduktion, der blev frigivet for et par minutter siden, er den faktiske størrelse af tab endnu ikke beregnet:
Dette gjorde det muligt for hackeren at stjæle penge fra enhver tegnebog, der havde en ubrugt forbrugsgodkendelse på kontrakten.
Lige nu arbejder teamet på en genopretningsplan. Alle kontrakter er sat på pause. I går inviterede teamet alle brugere til at migrere til en ny version af smart kontrakt.
Også Platypus, en Avalanche-baseret decentraliseret stablecoin-protokol, led af et angreb på $8.5 millioner. Forbrydere formåede at organisere et lynlånsangreb; USP stablecoin for projektet faldt til under $0.5. I et samarbejde med Tether Limited lykkedes det holdet at fryse midlerne på angriberens USDT-konto.
ZachXBT kommer til undsætning: Platypus-angriberen kan blive fundet
Lige nu er holdet i forhandlinger med Binance og Circle for at låse resten af angribernes bytte.
Den rutinerede kryptovalutaforsker ZachXBT hjælper DeFi-teamet med at inddrive midlerne. Han hævdede, at han opdagede angriberens Twitter-konto. Angriberen bruger muligvis domænet retlqw.eth ENS.
Hi @retlqw siden du deaktiverede din konto, efter jeg sendte dig en besked.
Jeg har sporet adresser tilbage til din konto fra @Platypusdefi udnytte, og jeg er i kontakt med deres team og udvekslinger.
Vi vil gerne forhandle tilbagebetaling af midlerne, før vi går i kontakt med retshåndhævelsen. pic.twitter.com/oJdAc9IIkD
— ZachXBT (@zachxbt) Februar 17, 2023
Efter denne erklæring deaktiverede retlqw.eth både sine Twitter- og Instagram-konti. Det lykkedes dog ZachXBT at tilbyde ham en bug-bounty på vegne af Platypus-holdet.
Kilde: https://u.today/two-avalanche-avax-defis-hacked-in-one-day