21 апреля 2020 Bloomchain
Злоумышленники, похитившие на выходных порядка $25 млн у dForce Foundation, вернули владельцам DeFi-платформы украденные деньги. Хакеры вернул на платформу порядка $24,3 млн — разница обусловлена волатильностью курса криптовалюты.
Напомним, 19 апреля хакеры вывели из экосистемы dForce порядка $25 млн. Для атаки они использовали уязвимость привязанного к курсу Bitcoin ethereum-токена imBTC, а также критическую уязвимость в смарт-контрактах протокола Lendf.me, которые отвечают за обновление балансов пользователей. Интересно, что проблема безопасности токенов стандарта ERC-777 была выявлена еще 16 месяцев назад — во время иследования смарт-контрактов децентрализованной биржи Uniswap.
В понедельник хакеры отправили три транзакции по $250 тыс. в токенах PAX на децентрализованные биржи 1inch.exchange и ParaSwap, а также на личный кошелек администратора Lendf.me. Последняя транзакция сопровождалась пометкой «За ваше лучшее будущее».
Команда Lendf.me попыталась наладить диалог с хакерами, оставив им адрес электронной почты для связи. После этого злоумышленники вернули украденные стейблкоины Huobi BTC и Huobi USD стоимостью $2,6 млн. На этом хакеры не остановились. По данным сервиса Etherscan, они уже вернули все похищенные деньги.
Неизвестно, почему хакеры решили вернуть похищенные деньги. Некоторые считают, что они попросту испугались, потому что по недосмотру раскрыли идентифицирующие их данные; другие думают, что все дело в инсайдерском взломе и рыночных манипуляциях; а третьи полагают, что за атакой стоит независимый пентестер, который хотел показать, что копировать кодовую базу Compound было ошибкой.
Генеральный директор 1inch.exchange Сергей Кунц рассказал The Block, что хакерам пришлось вернуть деньги, потому что 1inch.exchange раскрыла их IP-адреса полиции Сингапура.
«Мы получили запрос от полиции Сингапура и помогли dForce. По запросу мы предоставили полиции информацию об IP-адресах и другие конфиденциальные данные о деятельности хакеров в нашей инфраструктуре. На запрос мы отреагировали быстро. Конфиденциальность данных пользователей крайне важна для нас, однако в ситуации, когда нужно помочь полиции, мы готовы раскрыть их. Идея заключается в том, чтобы оказать как можно большее давление на преступника», — цитирует The Block Кунца.
Напомним, 19 апреля хакеры вывели из экосистемы dForce порядка $25 млн. Для атаки они использовали уязвимость привязанного к курсу Bitcoin ethereum-токена imBTC, а также критическую уязвимость в смарт-контрактах протокола Lendf.me, которые отвечают за обновление балансов пользователей. Интересно, что проблема безопасности токенов стандарта ERC-777 была выявлена еще 16 месяцев назад — во время иследования смарт-контрактов децентрализованной биржи Uniswap.
imBTC @tokenlon pool on @Uniswap has been attacked & drained🔥
Simple attack vector on ERC777 (with arbitrary code execution during transfer fct) on Uniswap to steal >$300k (#ETH+#BTC)
The vulnerability was described 16mths ago: https://t.co/a3AiJyY969 https://t.co/MKC2jNP1Y4 pic.twitter.com/cXOVu6le3P
— Julien Bouteloup (@bneiluj) April 18, 2020
Simple attack vector on ERC777 (with arbitrary code execution during transfer fct) on Uniswap to steal >$300k (#ETH+#BTC)
The vulnerability was described 16mths ago: https://t.co/a3AiJyY969 https://t.co/MKC2jNP1Y4 pic.twitter.com/cXOVu6le3P
— Julien Bouteloup (@bneiluj) April 18, 2020
В понедельник хакеры отправили три транзакции по $250 тыс. в токенах PAX на децентрализованные биржи 1inch.exchange и ParaSwap, а также на личный кошелек администратора Lendf.me. Последняя транзакция сопровождалась пометкой «За ваше лучшее будущее».
Команда Lendf.me попыталась наладить диалог с хакерами, оставив им адрес электронной почты для связи. После этого злоумышленники вернули украденные стейблкоины Huobi BTC и Huobi USD стоимостью $2,6 млн. На этом хакеры не остановились. По данным сервиса Etherscan, они уже вернули все похищенные деньги.
Now the attacker has returned virtually all funds. He took away $25 million and returned $23.8 million. The disparity is likely only because price went down slightly in the last two days. So there is no doubt in my mind that the attacker got caught and was forced to return it
— Larry Cermak (@lawmaster) April 21, 2020
— Larry Cermak (@lawmaster) April 21, 2020
Неизвестно, почему хакеры решили вернуть похищенные деньги. Некоторые считают, что они попросту испугались, потому что по недосмотру раскрыли идентифицирующие их данные; другие думают, что все дело в инсайдерском взломе и рыночных манипуляциях; а третьи полагают, что за атакой стоит независимый пентестер, который хотел показать, что копировать кодовую базу Compound было ошибкой.
They copy/pasted Compound v1 without changes. Extremely amateur.https://t.co/4UOUArgXhH
— 🤖 Leshner (@rleshner) April 19, 2020
— 🤖 Leshner (@rleshner) April 19, 2020
Генеральный директор 1inch.exchange Сергей Кунц рассказал The Block, что хакерам пришлось вернуть деньги, потому что 1inch.exchange раскрыла их IP-адреса полиции Сингапура.
«Мы получили запрос от полиции Сингапура и помогли dForce. По запросу мы предоставили полиции информацию об IP-адресах и другие конфиденциальные данные о деятельности хакеров в нашей инфраструктуре. На запрос мы отреагировали быстро. Конфиденциальность данных пользователей крайне важна для нас, однако в ситуации, когда нужно помочь полиции, мы готовы раскрыть их. Идея заключается в том, чтобы оказать как можно большее давление на преступника», — цитирует The Block Кунца.
Не является индивидуальной инвестиционной рекомендацией | При копировании ссылка обязательна | Нашли ошибку - выделить и нажать Ctrl+Enter | Жалоба