Привет, это команда «Шард». Продолжаем рубрику с разбором атак недели. За последние дни сразу несколько протоколов столкнулись с взломами — от багов в логике до компрометации ключей. Разбираем, что произошло и какие механики использовали злоумышленники.
Рассмотрим ключевые инциденты, произошедшие на прошлой недели: ZetaChain, YieldCoreLabs, AftermathFi, Syndicate, Sweat Economy и Wasabi.
Атака сети ZetaChain
27 апреля хакеры атаковали сеть ZetaChain. Взлом был связан с уязвимостью в смарт-контракте, который отвечает за кроссчейн-операции. Общий ущерб составил около $334 тыс., при этом пострадали только кошельки, принадлежащие самой команде проекта.
Хакеру удалось обмануть механизм проверки переводов, заставив систему принять поддельную транзакцию за настоящую. В результате система сама подтвердила операцию и отправила реальные средства на адрес злоумышленника в других блокчейнах, включая ЕТН и связанные с ним сети второго уровня (L2). Украденные средства были направлены на Tornado cash.
- Известный адрес хакера в сети ETH: 0x00467f5921f1a343b96b9bf71ae7e9054ae72ea4
Взлом проекта YieldCoreLabs
28 апреля произошел взлом проекта YieldCoreLabs.com в сети ЕТН, в результате которого было украдено около $398,6 тыс. Причиной атаки стала ошибка в смарт-контракте, который управляет депозитами пользователей. В системе присутствовала функция вывода средств, но в ее реализации разработчики допустили ошибку: убрали проверку, которая должна была подтверждать, право пользователя на вывод конкретных средств.
Злоумышленник воспользовался этой уязвимостью и развернул собственный контракт, с помощью которого вызывал функцию вывода средств от имени восьми различных вкладчиков. При этом средства направлялись на его собственный адрес, что позволило полностью вывести пользовательские активы. После кражи хакер обменял через Cow Swap 387 763.999994 USDC на 170.69108694109426 ETH и перевел их в Tornado Cash.
- Известный адрес хакера в сети ETH: 0x7137804200a073f616d92e87007f1f100100b56a
Взлом протокола AftermathFi
29 апреля в сети Sui произошел взлом протокола AftermathFi. Злоумышленник воспользовался ошибкой в системе расчета комиссий и смог вывести из протокола более $1,4 млн. Хакер создавал новые аккаунты, вносил минимальные депозиты, после чего вручную задавал «отрицательную комиссию». Из-за бага система воспринимала это не как ошибку, а как начисление дополнительных средств. В результате вместо списания комиссии баланс пользователя искусственно увеличивался.
Атака повторялась многократно: примерно за 36 минут было проведено 11 успешных операций вывода. Общая прибыль атакующего составила около 1 139 000 USDC, при том что изначально в протокол было внесено лишь около 1 100 USDC.
Далее часть средств (около 939 тыс. USDC) была распределена по различным адресам, часть обменена на токены SUI, после чего активы были распределены по новым кошелькам.
- Известный адрес хакера в сети Sui: 0x1a65086c85114c1a3f8dc74140115c6e18438d48d33a21fd112311561112d41e
Взлом протокола Syndicate
В этот же день в сети Base произошел взлом протокола Syndicate Commons, в результате которого был опустошен мостовой прокси-контракт CommonsBridgeProxy. Злоумышленники вывели около 18,45 млн SYND (примерно $330 тыс.).
Сначала атакующие получили контроль над механизмом обновления контракта через компрометацию административных прав. Это позволило изменить логику работы моста, заменив штатную реализацию на вредоносную.
После подмены кода все последующие взаимодействия с мостом начали выполняться по логике злоумышленников. В финальной транзакции они вызвали обновленный контракт, получили доступ к средствам внутри прокси и полностью вывели доступный баланс токенов SYND. После взлома украденные средства были переведены в сеть ЕТН с помощью моста, где в настоящее время находятся под контролем атакующего.
- Известный адрес хакера в сети ETH: 0x58e2e08357992bc4a4a02f22321c3e0f6b01893e
Атака на Sweat Economy
Также 29 апреля был атакован проект Sweat Economy на базе NEAR Protocol. В результате злоумышленники вывели около 13,7 млрд токенов SWEAT — это примерно 67% от их общего предложения на рынке.
Общая стоимость похищенных средств оценивается в $2,5-2,6 млн.
Атака началась около 13:36 UTC. Злоумышленник использовал один основной кошелек, оперативно вывел токены и начал их перемещение. Были задействованы децентрализованные биржи, включая Ref Finance, а также кроссчейн-мосты, такие как Wormhole и Portal Bridge.
- Известный адрес хакера в NEAR: 3be304b2151870b2be88b9de0b80acab921337ad152584138bd852fc6e9ae018
Взлом DeFi-протокола Wasabi.xyz
30 апреля был взломан DeFi-протокол Wasabi.xyz, общий ущерб составил около $5-5,5 млн. Причиной атаки стала компрометация административного ключа: злоумышленник получил доступ к ЕОА-адресу, управлявшему протоколом, и смог выдать себе права администратора.
Атака затронула активы сразу в нескольких сетях — Ethereum, Base, Berachain и Blast. Среди украденных активов были WETH, PEPE, USDC, сВТС и другие токены. Похищенные средства были направлены в Tornado Cash и Metamask.
- Известный адрес злоумышленника в сети ETH: 0x02228b0afcdbedf8180d96fc181da3af5dd1d1ab
В заключение
Основная зона риска смещается в сторону комплексных уязвимостей. Ошибки в логике, доступах и взаимодействии между сетями всё чаще используются вместе, усиливая эффект атак. В таких условиях ключевую роль играет не только аудит контрактов, но и контроль всей архитектуры протокола.
Узнавайте больше о мире криптовалют в нашем блоге.
Присоединяйтесь к Телеграм-каналу, чтобы не пропустить важные новости индустрии