Cross-chain Decentralized Finance (DeFi) -protokolla Rubic vaarantui, minkä seurauksena sen käyttäjien osoitteisiin tallennetut varat siirrettiin hakkereille.
25. joulukuuta Rubic-protokolla ilmoitti, että yksi sen reitityssopimuksista on vaarantunut ja kaikki sopimukset pysäytetään, kunnes tilanne on täysin ymmärretty. Tiedotteessa luki:
Protokollan luojat neuvoivat käyttäjiään myös peruuttamaan sopimuksen valtuutuksen revoke.cash -työkalun avulla. Blockchain-kyberturvallisuusyrityksen PeckShieldin Twitter-säie selittää, että Rubic-protokollan haavoittuvuus johti 1.41 miljoonan dollarin varojen menettämiseen suoraan lompakoista, jotka valtuutivat sen älykkäitä sopimuksia.
Hyökkääjän osoite sai varat Uniswap hajautettu vaihto (DEX) kaupoissa, jotka koskevat USD Coin (USDC) -stabiilia kolikkoa. PeckShied selitti, että hakkerointi oli mahdollista, koska USDC lisättiin vahingossa tuettuihin reitittimiin. Lisäksi "ruterCallNativen validoinnin puute" salli myös haitallisen sopimuskäytön.
Nopea älykäs sopimusanalyysi chatGPT:n avulla viittaa siihen, että ruterCallNative-toiminto sisältää useita mahdollisia haavoittuvuuksia, mukaan lukien mitätöityjä syötteitä parametreille "_params" ja "_data". Nämä voivat antaa hyökkääjälle mahdollisuuden välittää haitallisia tietoja, jotka voivat johtaa virheelliseen tai tahattomaan toimintaan.
Lisäksi funktiolle välitetty _gateway-parametri on rajoittamaton, mikä mahdollistaa sen, että hyökkääjä voi luoda sopimuksen ja suorittaa sen RubicProxy-sopimuksella.
Todellakin, hyökkääjä käyttöön mukautettu älykäs sopimus, jota käytettiin hyökkäyksessä. The dekoodattu tavukoodi näyttää 337 koodiriviä, joiden ansiosta hyökkääjä pystyi suorittamaan hyökkäyksen mahdollisimman tehokkaasti.
Hakkerin osoite sai ensin 1,161.55 XNUMX ethereum (ETH) siirto ja toinen 26.88 ETH-siirto, molemmat Uniswap-protokollasta, joka syöttää ulos yksinomaan USDC:tä ja vaihtaa sen wrapped ethereumiin (WETH). Kaikki tämä WETH lähetettiin myöhemmin ketjun sekoittimelle ja sanktioidulle taholle Tornado Cash anonymisoida väärin hankitut varat.
On-chain-analyysi osoittaa, että 1.45 miljoonan dollarin arvosta kolikoiden anonymisointipalveluun lähetetyt saapuvat tapahtumat olivat peräisin hakkerin osoitteesta – palvelun kokonaisarvo oli noin 2.9 miljoonaa dollaria. Toisin sanoen noin puolet sekoittimeen tänään lähetetystä omaisuudesta oli riistäjän lähettämä.
Vaikka hakkerin varat muodostavat niin merkittävän osan palvelun saapuvista transaktiovolyymista, heidän nimettömyytensä on silti huomattavaa. Talletus voi olla Tornado Cashista tänään käsiteltyjen 2 miljoonan dollarin nostojen joukossa tai älysopimukseen vielä talletettujen 174 miljoonan dollarin arvoisten omaisuuserien joukossa.
Tornado Cash on nyt laiton DeFi-protokolla, jonka avulla käyttäjät voivat suorittaa anonyymejä siirtoja Ethereum-lohkoketjussa. Protokolla käyttää zero-knowledge proofs (ZK-proofs) piilottaakseen tapahtumien tulo- ja lähtöosoitteet. Kolmansien osapuolten on vaikea määrittää tapahtumaan osallistuvien osapuolten henkilöllisyyttä tai siirron erityistä tarkoitusta.
Tornado Cash on avoimen lähdekoodin projekti, joka on rakennettu Ethereum-lohkoketjun päälle ja joka on kaikkien Ethereum-lompakkoa käyttävien käytettävissä. Käyttäjät voivat olla vuorovaikutuksessa Tornado Cash -sopimuksen kanssa käyttämällä Ethereum-lompakkoaan tai verkkokäyttöliittymää, joka on edelleen saatavilla hajautetun isännöintipalvelun InterPlanetary File System (IPFS) kautta. He voivat suorittaa anonyymejä ETH:n tai ERC-20-standardin mukaisten rahakkeiden siirtoja lähettämällä rahansa Tornado Cash -sopimukseen ja nostamalla ne uuteen osoitteeseen.
Uutinen seuraa viime aikoina raportit että pohjoiskorealaiset hakkerit ovat varastaneet noin 1.2 miljardia dollaria kryptovaluuttoja ja muuta virtuaalista omaisuutta viimeisen viiden vuoden aikana. Suurin osa hakkeroista tapahtui yksin vuonna 2021.
Lähde: https://crypto.news/rubic-dex-aggregator-hack-leads-to-1-4m-of-user-funds-stolen/