Haker wypłaca 5,9 mln dolarów od dostawcy płynności Ethereum TrustedVolumes

TrustedVolumes, dostawca płynności na blockchainie Ethereum, stracił w czwartek około 5,9 miliona dolarów na rzecz hakera.

Atakujący zdołał wykorzystać lukę w niestandardowym systemie handlowym używanym przez platformę i wypłacił środki, w tym ETH, WBTC, a także stablecoiny USDT i USDC.

Co się stało

Według firmy zajmującej się bezpieczeństwem blockchainów Blockaid, która wykryła exploit w trakcie jego trwania, skradzione środki obejmowały 1 291 WETH, około 16,9 WBTC, około 206 000 USDT i nieco poniżej 1,27 miliona USDC.

Atak polegał na wykorzystaniu wady projektowej w niestandardowym systemie rozliczania zleceń TrustedVolumes, znanym jako proxy Request for Quote (RFQ).

GoPlus Security opublikowało analizę pokazującą, że atakujący zarejestrował się jako autoryzowany „sygnatariusz zleceń" za pomocą funkcji o nazwie „registerAllowedOrderSigner()", która była publicznie dostępna.

Funkcja ta pozwala każdemu wyznaczyć własny adres jako prawidłowy sygnatariusz dla transakcji, które kontrolował, a choć normalnie byłoby to wystarczająco nieszkodliwe, funkcja rozliczeniowa miała osobny problem: sprawdzała autoryzację pod jednym adresem, podczas gdy faktycznie pobierała środki z innego.

Jak szczegółowo opisano w raporcie technicznym opublikowanym przez badacza bezpieczeństwa Defi Nerd, atakujący wykorzystał tę lukę do przeprowadzenia czterech transakcji wyprowadzających środki z kontraktu resolwera TrustedVolumes, który wcześniej przyznał proxy uprawnienia do przenoszenia swoich tokenów.

Według nich, za każdym razem proxy pobierało aktywa z resolwera i odsyłało z powrotem jedynie jedną surową jednostkę USDC. Następnie atakujący przekonwertował skradzione WETH z powrotem na ETH i przesłał wszystko do własnego portfela.

TrustedVolumes potwierdził exploit i publicznie opublikował trzy adresy portfeli przechowujących skradzione środki, prosząc hakera o kontakt w sprawie „nagrody za znalezienie błędu i wzajemnie akceptowalnego rozwiązania".

1inch dystansuje się w miarę jak ataki na DeFi trwają

Ponieważ TrustedVolumes działa jako dostawca płynności i animator rynku na 1inch, niektóre wczesne doniesienia przedstawiały incydent jako exploit 1inch.

Nie jest to jednak prawdą, a zarówno 1inch, jak i Blockaid wydały oświadczenia wyjaśniające, że sam protokół nie został naruszony i żadne środki użytkowników na 1inch nie zostały dotknięte. TrustedVolumes działa niezależnie na wielu platformach, nie tylko na 1inch.

Atak nastąpił w szczególnie trudnym okresie dla ekosystemu DeFi, ponieważ nastąpił po katastrofalnym kwietniu, w którym z różnych projektów skradziono kryptowaluty o wartości ponad 650 milionów dolarów.

KelpDAO i Drift Protocol były najbardziej dotknięte, tracąc odpowiednio 292 miliony i 285,2 miliona dolarów.

Tak więc przy 5,9 miliona dolarów najnowszy exploit jest mniejszy pod względem skali. Jednak techniczna wyrafinowanie podejścia — wdrożenie kontraktu pomocniczego, nadużycie rejestracji sygnatariusza samoobsługowego i wykorzystanie rozbieżności między twórcą a źródłem finansowania w jednej transakcji — umieszcza go w innej kategorii niż zwykły błąd lub błędna konfiguracja.

The post Hacker Drains $5.9M From Ethereum Liquidity Provider TrustedVolumes appeared first on CryptoPotato.