Մի քանի օր առաջ ապակենտրոնացված FixedFloat ոչ KYC հավելվածը հաքերային հարձակման է ենթարկվել իր ենթակառուցվածքի վրա, ինչի հետևանքով 26 միլիոն դոլարի վնաս է կրել։
Ըստ աուդիտի և բլոկչեյն վերլուծության PeckShield ընկերության, ընդհանուր առմամբ գողացվել է 1728 ETH և 409 BTC. գումարների մի մասն այնուհետև լվացվել է՝ անցնելով ապակենտրոնացված խառնիչներով և coinjoin գործարքներով:
FixedFloat-ը հայտարարել է, որ օգտատերերի միջոցներն ապահով են, և որ կոտրումը չի վտանգել կրիպտո փոխանակման հավելվածի ֆինանսական կայունությունը:
Բոլոր մանրամասները ստորև.
FixedFloat-ի կառուցվածքում խոցելիություն. ապակենտրոնացված հավելվածը ենթարկվում է 26 միլիոն դոլարի հաքեր BTC-ում և ETH-ում:
Շաբաթ օրը՝ փետրվարի 17-ին, ապակենտրոնացված կրիպտոարժույթի փոխանակման FixedFloat հավելվածը հաքերային հարձակման զոհ է դարձել, որը պատճառ է դարձել. BTC-ում և ETH-ում 26 մլն դոլարի կորուստ.
Ամեն ինչ սկսվեց նրանից, որ մի քանի օգտատերեր զեկուցել են, որ սառեցված գործարքներ են ունեցել և իրենց հաշիվներում բացակայում են միջոցներ. կարճ ժամանակ անց շղթայական վերլուծության միջոցով պարզվեց, որ մի քանի միլիոն դոլար է փոխանցվել տարբեր չճանաչված արտաքին դրամապանակներին:
Թեև դեռ պարզ չէ, թե ինչպես է տեղի ունեցել հարձակումը, FixedFloat թիմը անմիջապես բացատրեց, որ դա «փոքր տեխնիկական խնդիր» դեպքի պահին:
Նույնը հայտարարել է, որ միջոցները կվերադարձվեն պլատֆորմի օգտատերերին, և որ կոտրումը չի վտանգի ենթարկել ընկերության ֆինանսական կայունությունը։
Ինչեւէ, հոդվածը գրելու պահին ապակենտրոնացված հավելվածը մնում է ոչ ակտիվ և սպասարկման ռեժիմում, բայց այն կվերաբացվի չճշտված ապագայում, հենց որ վստահ լինի, որ այն անվտանգ է օգտագործելու համար:
Ահա թե ինչ է հաղորդվել X-ում Fixed FixedFloat-ի կողմից հաքերից հետո.
Ապակենտրոնացված փոխանակումը հայտնի է իր ոչ KYC ծառայությունների համար, որոնք գրանցում չեն պահանջում դասական «Ճանաչիր քո հաճախորդին» ընթացակարգով, ինչը թույլ է տալիս մրցակցային առավելություն ունենալ գաղտնիության առումով:
Իր հաճախորդներին առաջարկելով անանուն մնալու հնարավորությունը և թույլ տալով գործարքներ կատարել բիթքոյնով Lightning Network-ի միջոցով՝ FixedFloat-ը գրավել է օգտատերերի լայն շրջանակ Միացյալ Նահանգներից:
Մասամբ անանունության հատկանիշը և ներքին հսկողության բացակայությունը նպաստեցին չարամիտ հաքերային հարձակմանը, որը ստիպված չէր տրամադրել իրենց անձնական տվյալները հավելված մուտք գործելու համար:
Ըստ կիբերանվտանգության և բլոկչեյն վերլուծության PeckShield ընկերության, գողությունը կազմում է ճշգրիտ 1728 ETH՝ 4.85 միլիոն դոլար արժողությամբ և 409 BTC՝ գրեթե 21 միլիոն դոլար արժողությամբ։
Հաքերից ստացված եթերի մեծ մասն արդեն փոխանցվել է Ethereum բլոկչեյնի ապակենտրոնացված փոխանակումների լայն շրջանակ:
FixedFloat-ը հայտնել է, որ իրենք աշխատում են իրավապահ մարմինների, բլոկչեյն դատաբժշկական ընկերությունների և կրիպտոարժույթների բորսաների հետ՝ հետևելու հաքերներին, որոնք դեռ չեն կապվել բորսայի հետ:
Ընկերությունը հայտարարել է, որ կկատարի իր բոլոր վճարային պարտավորությունները հենց որ այն վերսկսի իր գործունեությունը և վստահ է, որ փոխանակումն անվտանգ կլինի նորից օգտագործելու համար:
Հաքերից գողացված BTC-ի մի մասը վերամշակվել է coinjoin գործողության միջոցով
Մինչդեռ FixedFloat ապակենտրոնացված հավելվածի կոտրումից գողացված ETH-ը հեշտությամբ տեղափոխվել է տասնյակ տարբեր հասցեներ և շրջանառվել Ethereum բլոկչեյնի միջոցով, նույն թալանին մաս կազմող ԲԹՋ-ն պատրաստվում է վերամշակման coinjoin գործարքներով:
Հիշեցնում ենք, որ coinjoin-ը բիթքոյն գործողության տեսակ է, որն առաջին անգամ տեսություն է ներկայացրել Գրեգորի Մաքսվելը 2013 թվականին, որում ԲԹՋ-ի մի քանի վճարումներ միավորվում են մեկ գործարքի մեջ, դժվարացնելով որոշել, թե որ հասցեները ինչ գումար են ծախսել։
Նմանապես, ինչ տեղի է ունենում ապակենտրոնացված խառնիչների հետ, ինչպիսին է Tornado Cash-ը, coinjoin գործարքները միավորվում են միասին՝ միասնական ֆոնդում մեկ գործարք կատարելու համար, որից ավանդատուները կարող են հետ պահանջել իրենց «միավորված» և անանուն դրամական միջոցներ:
Մեր դեպքում հաքերն օգտագործել է մի խառնիչ, որն օգտագործում է գաղտնիությունը մեծացնելու մեթոդ, որը նման է coinjoin-ին, որտեղ մի քանի BTC արդեն փոխանակվել են:
Մասնավորապես, կարելի է հաստատել, որ X-ի web3 հետազոտողի բացատրության համաձայն՝ գողացված միջոցների մի մասը, ավելի ճիշտ՝ 2.7544 ԲԹՋ, հոսել է հասցե։
34F2Jjmzo4N3kz3zVVBbqr3nn6NkvQvNjA, որը պատկանում է CEX TradeOgre-ին:
Այս գումարը կարող է ներկայացնել այն միջնորդավճարը, որը վճարել է չարամիտ դերասանը խառնիչի օգտագործման համար, որը Թվում է, կապված լինել Whirpool հավելվածին, որն իրականացնում է գաղտնիության առաջադեմ համակարգ:
Ենթադրվում է, որ FixedFloat ապակենտրոնացված հավելվածից գողացված 166 ԲԹՋ-ից 409-ն արդեն անցել է Whirpool խառնիչով։
Նման միջադեպերը սովորական են կրիպտոգրաֆիկ միջավայրերում, հատկապես ոչ KYC միջավայրերում, որոնք ինչ-որ կերպ պաշտպանում են հաքերների անանունությունը:
Ըստ Chainalysis-ի դատաբժշկական հետազոտական ընկերության՝ չնայած բազմաթիվ միջադեպերին, որոնք գրանցվել են 2023թ. հաքերն ու շահագործումները նախորդ տարվա համեմատ նվազում են, երբ գողությունների բում էր.
Ընդհանուր առմամբ, կոտրված միջոցների արժեքը 54.3 թվականի համեմատ նվազել է մոտ 2022%-ով, ընդհանուր գողացված գումարով մոտ 1.7 միլիարդ դոլար, որը հիմնականում բխում է DeFi հավելվածների հաքերներից։
Աղբյուր՝ https://en.cryptonomist.ch/2024/02/20/the-decentralized-application-fixedfloat-falls-victim-to-a-26-million-hack/