Менеджер по управлению ликвидностью Concentric стал жертвой взлома закрытого ключа на сумму 1,8 млн долларов
Менеджер ликвидности Concentric, популярное приложение, используемое в сети Arbitrum, недавно подвергся значительному взлому приватного ключа. Согласно отчету платформы безопасности блокчейна CertiK, в результате атаки было потеряно более 1,8 миллиона долларов. Этот инцидент вызвал обеспокоенность по поводу безопасности децентрализованных финансовых протоколов (DeFi) и подверженности средств пользователей вредоносным атакам.
Атака и ее исполнение
Эксплойт был осуществлен с помощью «атаки социальной инженерии», когда злоумышленник манипулировал людьми, чтобы получить несанкционированный доступ к закрытому ключу разработчика протокола. Получив контроль над этим закрытым ключом, злоумышленник приступил к выполнению ряда вредоносных действий. Они модернизировали хранилища, чеканили новые токены LP (поставщик ликвидности) и в конечном итоге опустошили хранилища от своих активов.
Компания CertiK в своем отчете отметила, что кошелек, использованный в этой атаке, связан с кошельком, участвовавшим в предыдущем эксплойте на децентрализованной бирже OKX в декабре. Эта связь позволяет предположить, что за оба инцидента ответственен один и тот же человек или группа.
Стратегия эксплойтера
Эксплорер использовал определенный процесс для осуществления атаки. Они вызвали функцию adminMint на контракте Concentric, что позволило им намайнить 0,001 токена CONE-1. Затем они выполняли действие «burn», чтобы обменять токены CONE-1 на средства из AlgebraPool. Этот процесс повторялся несколько раз, что позволило злоумышленникам накопить несколько токенов ERC-20, которые впоследствии были обменены на Эфир (ETH).
Немедленная реакция и рекомендации
После обнаружения атаки команда Concentric быстро начала расследование инцидента. Они заявили о своей готовности устранить уязвимость и восстановить целостность протокола Concentric. Команда планирует выпустить посмертный отчет с подробным описанием атаки и описанием стратегии по снижению подобных рисков в будущем.
Компания Concentric призвала своих пользователей принять срочные меры и отозвать разрешения со всех адресов хранилищ, замешанных в атаке. Список этих адресов можно найти в официальных документах протокола. Отозвав разрешения, пользователи смогут предотвратить дальнейший несанкционированный доступ к своим средствам.
Последствия для протоколов управления ликвидностью
Протоколы управления ликвидностью играют важную роль на децентрализованных биржах (DEX), устанавливая ценовые параметры и ребалансируя пулы ликвидности. Эти протоколы приобрели популярность после введения в 2021 году функции «концентрированной ликвидности» на Uniswap, которая позволила поставщикам ликвидности устанавливать определенные ценовые диапазоны для своих активов. Однако растущая сложность предоставления ликвидности привела к тому, что многие пользователи стали полагаться на протоколы управления для безопасной работы со своими активами.
К сожалению, Concentric — не единственный менеджер ликвидности, ставший жертвой эксплойта. Другой протокол, Gamma Protocol, подвергся атаке в начале этого месяца, в результате которой из-за уязвимости смарт-контракта было потеряно около 500 000 долларов. Важно отметить, что в атаках на Concentric и Gamma Protocol использовались разные методы, и считается, что они не связаны между собой.
Заключение
Недавний взлом приватного ключа менеджера ликвидности Concentric подчеркивает постоянные проблемы безопасности, с которыми сталкиваются протоколы DeFi. Атака привела к значительной потере средств, что подчеркивает необходимость надежных мер безопасности в криптовалютной экосистеме. Пока продолжается расследование инцидента, пользователям рекомендуется проявлять осторожность и следовать рекомендациям Concentric, чтобы обезопасить свои активы. Этот инцидент служит напоминанием разработчикам и пользователям о необходимости уделять первостепенное внимание безопасности и сохранять бдительность перед лицом эволюционирующих угроз в криптовалютном пространстве.