Протокол межсетевого децентрализованного финансирования (DeFi) Rubic был скомпрометирован, в результате чего средства, хранящиеся на адресах его пользователей, были перекачаны и переданы хакерам.
25 декабря протокол Rubic объявил, что один из его контрактов маршрутизации был скомпрометирован, и все контракты будут остановлены до полного выяснения ситуации. Объявление гласило:
Создатели протокола также посоветовали своим пользователям отозвать авторизацию контракта с помощью инструмента revoke.cash. В твиттере компании по кибербезопасности блокчейна PeckShield объясняется, что уязвимость в протоколе Rubic привела к потере средств на сумму 1,41 миллиона долларов непосредственно из кошельков, авторизовавших ее смарт-контракты.
Адрес эксплуататора получил средства от децентрализованной биржи Uniswap (DEX) в транзакциях со стабильной монетой USD Coin (USDC). PeckShied объяснил, что взлом стал возможен благодаря ошибочному добавлению USDC в поддерживаемые маршрутизаторы. Кроме того, «отсутствие проверки в ruterCallNative» также позволяло использовать вредоносные контракты.
Быстрый анализ смарт-контракта с помощью chatGPT показывает, что функция ruterCallNative содержит множество потенциальных уязвимостей, в том числе недействительный ввод для параметров «_params» и «_data». Это может позволить злоумышленнику ввести вредоносные данные, которые могут привести к неправильному или непреднамеренному поведению.
Кроме того, параметр «_gateway», передаваемый функции, не имеет ограничений, что потенциально позволяет злоумышленнику создать контракт и выполнить его с помощью контракта RubicProxy.
Действительно, злоумышленник развернул специальный смарт-контракт, который использовался в атаке. Расшифрованный байт - код показывает 337 строк кода, которые позволили злоумышленнику провести атаку максимально эффективно.
На адрес хакера сначала поступил перевод 1161,55 эфириума (ETH) и еще один перевод 26,88 ETH, оба из протокола Uniswap, перекачивающего исключительно USDC и обменивающего его на обернутый эфириум (WETH). Позже весь этот WETH был отправлен сетевому микшеру и находящейся под санкциями организации Tornado Cash , чтобы анонимизировать средства, полученные нечестным путем.
Ончейн-анализ показывает, что входящие транзакции на сумму 1,45 миллиона долларов, отправленные в службу анонимизации монет, были отправлены с адреса хакера — при общей входящей стоимости службы около 2,9 миллиона долларов. Другими словами, около половины активов, отправленных сегодня в микшер, были отправлены эксплуататорами.
Несмотря на то, что средства хакера составляют значительную часть объема входящих транзакций сервиса, их анонимность по-прежнему значительна. Депозит может быть среди 2 миллионов долларов, снятых с Tornado Cash сегодня, или среди активов на сумму 174 миллиона долларов, которые все еще депонированы в смарт-контракте.
Tornado Cash — это теперь незаконный протокол DeFi, который позволяет пользователям выполнять анонимные переводы в блокчейне Ethereum. Протокол использует доказательства с нулевым разглашением (ZK-доказательства), чтобы скрыть входные и выходные адреса транзакций. Третьим лицам сложно установить личность сторон, участвующих в сделке, или конкретную цель перевода.
Tornado Cash — это проект с открытым исходным кодом, построенный на основе блокчейна Ethereum и доступный для всех, у кого есть кошелек Ethereum. Пользователи могут взаимодействовать с контрактом Tornado Cash, используя свой кошелек Ethereum или веб-интерфейс, который по-прежнему доступен через службу децентрализованного хостинга InterPlanetary File System (IPFS). Они могут выполнять анонимные переводы ETH или токенов, соответствующие стандарту ERC-20, отправляя свои средства на контракт Tornado Cash и выводя их на новый адрес.
Эта новость последовала за недавними сообщениями о том , что за последние пять лет северокорейские хакеры украли криптовалюту и другие виртуальные активы на сумму около 1,2 миллиарда долларов. Большинство этих взломов произошло только в 2021 году.
