Хакер не справился с эксплойтом DeFi: Украденный $1M в контракте самоуничтожается

В редком комичном случае среди эксплойтов DeFi злоумышленник не справился со своим ограблением на финишной прямой, оставив после себя более 1 миллиона долларов в украденной криптовалюте.

Сразу после 8 часов утра по Гринвичу в четверг, 21 апреля, компания BlockSec сообщила, что обнаружила атаку на малоизвестный протокол кредитования DeFi под названием Zeed, который называет себя “децентрализованной финансовой интегрированной экосистемой”.

Злоумышленник использовал уязвимость в способе распределения вознаграждений, что позволило ему намайнить дополнительные токены, которые затем были проданы, обрушив цену до нуля, но принеся злоумышленнику чуть более 1 миллиона долларов.

Аналитическая компания PeckShield отметила, что украденные криптовалюты были переведены в “контракт атаки” – смарт-контракт, который автоматически и быстро выполняет найденный эксплойт.

#PeckShieldAlert Похоже, что @zeedcommunity пострадал от эксплойта. Эксплойтер получил ~$1 млн. Прибыль в настоящее время находится в атакующем контракте. @peckshield

– PeckShieldAlert (@PeckShieldAlert) 21 апреля 2022 г.

Однако злоумышленник, очевидно, был настолько взволнован своим успешным ограблением, что забыл перевести украденные криптовалюты на сумму более $1 млн из своего контракта на атаку перед тем, как перевести его в режим самоуничтожения, окончательно и бесповоротно гарантируя, что средства никогда не смогут быть перемещены.

Интересно. Хакер уничтожает контракт, но забывает перевести прибыль. pic.twitter.com/FwpZweNLHU

– PeckShield Inc. (@peckshield) 21 апреля 2022 г.

Использование сканера блокчейна для просмотра адреса контракта атаки показывает, что токен BSC-USD Binance-Peg стоимостью $1 041 237,57 навсегда застрял в контракте, а успешное самоуничтожение контракта было подтверждено в 7:15 утра по Гринвичу 21 апреля.

Это один из самых причудливых поворотов событий с тех пор, как хакер Polygon провел “Ask Me Anything” с использованием встроенных сообщений о транзакциях Ethereum(ETH) после кражи 612 миллионов долларов из протокола в августе 2021 года. В ходе сессии вопросов и ответов выяснилось, что злоумышленник взламывал “ради забавы” и думал, что “межцепочечный взлом – это круто”.

Этот последний взлом является менее масштабным в отношении похищенной суммы, в то время как при других взломах протокола DeFi были похищены сотни миллионов, как, например, при недавнем взломе моста Ronin, когда злоумышленники похитили более 600 миллионов долларов.

Среди других заметных DeFi эксплойтов – кража криптовалюты на 80 миллионов долларов у Qubit Finance в январе, когда злоумышленники обманули протокол, заставив его поверить, что они внесли залог, что позволило им майнить актив, представляющий собой бридж криптовалюты.

DeFi рынок Deus Finance подвергся атаке в марте, когда хакеры манипулировали ценовым фидом пары стейблкоинов, что привело к неплатежеспособности средств пользователей и принесло хакерам более 3 миллионов долларов.

Adblock
detector