Хакер не справился с эксплойтом DeFi: Украденный $1M в контракте самоуничтожается
В редком комичном случае среди эксплойтов DeFi злоумышленник не справился со своим ограблением на финишной прямой, оставив после себя более 1 миллиона долларов в украденной криптовалюте.
Сразу после 8 часов утра по Гринвичу в четверг, 21 апреля, компания BlockSec сообщила, что обнаружила атаку на малоизвестный протокол кредитования DeFi под названием Zeed, который называет себя «децентрализованной финансовой интегрированной экосистемой».
Злоумышленник использовал уязвимость в способе распределения вознаграждений, что позволило ему намайнить дополнительные токены, которые затем были проданы, обрушив цену до нуля, но принеся злоумышленнику чуть более 1 миллиона долларов.
Аналитическая компания PeckShield отметила, что украденные криптовалюты были переведены в «контракт атаки» — смарт-контракт, который автоматически и быстро выполняет найденный эксплойт.
#PeckShieldAlert Похоже, что @zeedcommunity пострадал от эксплойта. Эксплойтер получил ~$1 млн. Прибыль в настоящее время находится в атакующем контракте. @peckshield
— PeckShieldAlert (@PeckShieldAlert) 21 апреля 2022 г.
Однако злоумышленник, очевидно, был настолько взволнован своим успешным ограблением, что забыл перевести украденные криптовалюты на сумму более $1 млн из своего контракта на атаку перед тем, как перевести его в режим самоуничтожения, окончательно и бесповоротно гарантируя, что средства никогда не смогут быть перемещены.
Интересно. Хакер уничтожает контракт, но забывает перевести прибыль. pic.twitter.com/FwpZweNLHU
— PeckShield Inc. (@peckshield) 21 апреля 2022 г.
Использование сканера блокчейна для просмотра адреса контракта атаки показывает, что токен BSC-USD Binance-Peg стоимостью $1 041 237,57 навсегда застрял в контракте, а успешное самоуничтожение контракта было подтверждено в 7:15 утра по Гринвичу 21 апреля.
Это один из самых причудливых поворотов событий с тех пор, как хакер Polygon провел «Ask Me Anything» с использованием встроенных сообщений о транзакциях Ethereum(ETH) после кражи 612 миллионов долларов из протокола в августе 2021 года. В ходе сессии вопросов и ответов выяснилось, что злоумышленник взламывал «ради забавы» и думал, что «межцепочечный взлом — это круто».
Этот последний взлом является менее масштабным в отношении похищенной суммы, в то время как при других взломах протокола DeFi были похищены сотни миллионов, как, например, при недавнем взломе моста Ronin, когда злоумышленники похитили более 600 миллионов долларов.
Среди других заметных DeFi эксплойтов — кража криптовалюты на 80 миллионов долларов у Qubit Finance в январе, когда злоумышленники обманули протокол, заставив его поверить, что они внесли залог, что позволило им майнить актив, представляющий собой бридж криптовалюты.
DeFi рынок Deus Finance подвергся атаке в марте, когда хакеры манипулировали ценовым фидом пары стейблкоинов, что привело к неплатежеспособности средств пользователей и принесло хакерам более 3 миллионов долларов.