Похитивший с dForce $25 млн хакер вышел на связь с создателями протокола и вернул часть средств
Хакер, который вывел $25 млн из экосистемы dForce, предположительно дал правоохранителям возможности выйти на свой след. Он также попытался связаться с ее руководством. Об этом сообщает Cointelegraph.
В ходе атаки злоумышленник использовал уязвимость токена стандарта ERC-777, которую еще в 2018 году выявили исследователи ConsenSys при аудите безопасности системы смарт-контрактов децентрализованной биржи Uniswap. Стандарт ERC-777 считается более продвинутой версией ERC-20. Но технология более уязвима при использовании в системах децентрализованных финансов (DeFi).
В случае с Lendf.Me хакер воспользовался не только слабыми местами токена imBTC, но и критической уязвимостью в смарт-контрактах Lendf.me, отвечающих за обновление балансов пользователей.
Как объяснил аналитик под псевдонимом Frank Topbottom, злоумышленник многократно повторял одну и ту же простую атаку повторного входа.
1) The second attack using imBTC is more interesting. At the very beginning, attacker drained imBTC from other users on https://t.co/pJgDLnFcmq. Further, he repeated iterations to increase the ability to borrow other assets.
The attacker in each iteration (tx) did the following:— Frank Topbottom (@FrankResearcher) April 19, 2020
Предварительно опустошив счета других пользователей платформы, он переводил токены imBTC на свой счет, повторяя ту же самую транзакцию, но уже на 0,00000001 imBTC. Это позволяло ему выводить токены, депонированные перед этим, сохраняя при этом состояние счета в прежнем виде.
Хакер вывел все токены с Lendf.me (291 imBTC или $2 млн). Он продолжил атаку, пока та же судьба не постигла все средства в протоколе dForce. Использовав фейковый баланс в качестве залогового обеспечения, он получил в распоряжение почти $25 млн в различных криптовалютах и стейблкоинах.
Frank Topbottom расписал, какие именно монеты и в каком количестве вывел хакер. Он отметил, что часть средств злоумышленник отправил в конкурирующий DeFi-протокол Compound.
4)
Part of stolen funds went to @compoundfinance and @AaveAave, another part was sold for MKR, BAT, KNC, LINK.
Some kind of overly devoted DeFi fan??🧐— Frank Topbottom (@FrankResearcher) April 19, 2020
Несколько ранее в отдельном и скорее всего не связанном эпизоде неизвестные хакеры атаковали и опустошили пул ликвидности для imBTC на децентрализованной бирже Uniswap, воспользовавшись тем же вектором атаки на токен ERC-777. Описывая инцидент с Lendf.me, Frank Topbottom говорит о «второй атаке».
Неожиданная развязка
Вскоре после атаки на dForce хакер отправил три транзакции на $250 000 в токенах PAX на децентрализованные биржи 1inch.exchange и ParaSwap, а также на учетную запись администратора Lendf.Me. Последнюю он сопроводил с пометкой «Лучшего будущего».
Подобные действия можно воспринимать как предложение мира, поскольку PAX на латыни означает «мир».
После отклика Lendf.me с адресом электронной почты для связи хакер вернул похищенные стейблкоины Huobi BTC и Huobi USD на $2,6 млн, которые ему вряд ли бы удалось конвертировать без раскрытия личности.
В ответ на такой жест хакер получил от администратора Lendf.me сообщение с пометкой «Свяжись с нами. Ради твоего лучшего будущего».
Как считает представитель 1inch.exchange, злоумышленник мог по недосмотру раскрыть свои идентификационные данные, обратившись к сервису напрямую без использования распределенной файловой системы IPFS.
«Он может быть отличным кодером, но хакер из него не очень», — дал оценку действиям злоумышленника собеседник издания.
Все три запроса на обмен исходили с одного китайского IP-адреса. Представители биржи предположили, что это VPN или прокси-сервер, владельцы которых могут получить повестку в суд. Хакер использовал Mac, раскрыв разрешение своего экрана и английский язык.
Представители 1inch.exchange убеждены, что хакер вернет деньги в надежде на снисхождение.
Напомним, в феврале злоумышленник атаковал DeFi-платформу bzx и вывел с нее 1193 ETH ($350 000 на тот момент). Ущерб от последовавшей следом второй атаки на bzx составил уже $645 000.
Подробно эта атака описана в нашем специальном материале.
Подписывайтесь на новости ForkLog в Facebook!
Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!