Хакер украл более $3 млн c платформы MISO на SushiSwap
Злоумышленник вывел 864,8 ETH (~$3,09 млн) с аукциона невзаимозаменяемых токенов (NFT) на IDO-платформе MISO протокола SushiSwap.
Хакер вернул все похищенные средства, перечислив тремя транзакциями на адрес SushiSwap.
The Miso front end has become the victim of a supply chain attack. An anonymous contractor by with the GH handle AristoK3 injected malicious code into the Miso front end. We have reason to believe this is @eratos1122.
— Joseph 🤝 Delong 🔱 (@josephdelong) September 17, 2021
864.8 ETH was stolen, address belowhttps://t.co/cDZeBqFV4P
CTO SushiSwap Джозеф Делонг сообщил, что анонимный подрядчик, использующий на GitHub ник AristoK3, внедрил вредоносный код во внешний интерфейс MISO и подменил адрес аукциона.
Около 19:00 (МСК) средства поступили на контролируемый злоумышленником кошелек, который сейчас помечен Etherscan, как связанный с эксплойтом MISO.
По словам Делонга, у команды платформы есть основания полагать, что в Twitter злоумышленник известен под псевдонимом 0x A.K. Пользователь описывает себя как блокчейн- и веб-разработчика.
Предположение оказалось ошибочным, CTO SushiSwap извинился перед разработчиком, который, по его словам, действительно сделал большую часть работы для MISO.
I’ll say sorry. I’ll even say you’re pretty now that the funds have been returned https://t.co/aE4XyQfEcz
— Joseph 🤝 Delong 🔱 (@josephdelong) September 17, 2021
Делонг предупредил, что подрядчик также выполнял работу для DeFi-проекта yearn.Finance.
Специалисты MISO запросили у бирж FTX и Binance информацию об идентификационных данных взломщика, но не встретили понимания, отметил Делонг. В случае невозврата средств до 15:00 (МСК) 17 сентября они обратятся в ФБР.
Злоумышленник перевел 100 ETH после истечения срока на мультисиг-кошелек SushiSwap.
«Надеюсь, что отправит остальные», — написал Делонг.
100 ETH has been returned to the Sushi multisig. Hoping the attacker sends the resthttps://t.co/PpvYCaIUeq https://t.co/Xz7uQiHRW9
— Joseph 🤝 Delong 🔱 (@josephdelong) September 17, 2021
Примерно через час после первой транзакции хакер вернул еще 700 ETH.
Делонг уточнил, что пострадал только аукцион проекта Jay Pegs Auto Mart. Команда уже заверила пользователей, что они получат приобретенные NFT серии 2007 Kia Sedona, несмотря на кражу средств. Выпуск запланирован на 21 сентября.
Hey folks. Everyone will still receive their 2007 Kia Sedona NFTs, and the exchange is still scheduled to begin on 9/21/2021. https://t.co/oYgqyHY8Jp
— Jay Pegs Auto Mart (@jaypegsautomart) September 17, 2021
Напомним, ранее белый хакер помог устранить в MISO уязвимость, которая могла привести к потере 109 000 ETH (~$350 млн на тот момент).
Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!