По сообщениям, криптовалюта пользователей на миллионы долларов пропала среди пользователей самоокупаемого децентрализованного кошелька Atomic Wallet. В субботу проект признал факт компрометации и заявил, что делает все возможное для расследования очевидной уязвимости.
Волна аккаунтов в Twitter сообщила, что из содержимого их кошельков были выкачаны средства, что вызвало широкое беспокойство в криптовалютном Twitter.
«Это серьезно пугает», — написал в Twitter исследователь DeFi Игнас. «Кошелек Atomic, несмотря на то, что он существует уже много лет, все еще взламывают».
Это серьезно пугает.
Атомный кошелек, несмотря на то, что существует уже много лет, все еще взламывают.
Я пробую несколько программных кошельков, но для душевного спокойствия multisig выигрывает для долгосрочного хранения.
К сожалению, это не самый удобный способ, но вы будете лучше спать по ночам…. pic.twitter.com/LJI0iFnVot
— Ignas | DeFi Research (@DefiIgnas) June 4, 2023
Криптовалютный кошелек проекта имеет более 5 миллионов загрузок, согласно сайту Atomic Wallet. Изначально он был запущен в 2017 году под названием Atomic Swap генеральным директором Константином Гладычем, который также является генеральным директором Changelly.com.
По состоянию на воскресенье, Atomic Wallet заявил, что не может подтвердить, как произошли атаки, но заверил пользователей, что работает с «ведущими компаниями по безопасности» над расследованием и связался с организациями, которые могут помочь отследить украденные средства, такими как аналитические фирмы и биржи.
Обновление: Расследование все еще продолжается в рамках совместных усилий с ведущими компаниями по безопасности. Команда работает над возможными векторами атак. Пока ничего не подтверждено.
Команда поддержки собирает адреса жертв. Мы связались с крупнейшими биржами и компаниями, занимающимися анализом блокчейна…
— Atomic — Crypto Wallet (@AtomicWallet) 4 июня 2023
Atomic Wallet не сразу ответил на просьбу TCN о комментарии.
Некоторые пользователи в Twitter сообщили, что эксплойт их не затронул, и они смогли вовремя перевести средства на другой кошелек. Другие сетовали, что потеряли всю имевшуюся у них криптовалюту.
Atomic Wallet утверждает, что его продукт безопасен отчасти потому, что компания не имеет доступа к конфиденциальной информации, такой как личные ключи пользователей, которые шифруются и хранятся на устройствах людей. Но аудиторская компания Least Authority в феврале 2021 года подняла тревогу, заявив, что Atomic Wallet «недостаточно надежен в защите активов и частных данных пользователей».
По данным расследования, проведенного псевдонимным блокчейн-ищейкой ZachXBT, по состоянию на воскресенье было обнаружено более 35 миллионов долларов украденных средств. По словам ZachXBT, одна из жертв потеряла в результате инцидента стабильную валюту Tether на сумму около 8 миллионов долларов.
Токен AWC ERC-20 Atomic Wallet, который торгуется на децентрализованных биржах, таких как Uniswap, за последние 24 часа подешевел более чем на 13% до $0,22, по данным CoinGecko. Цена снизилась более чем на 96% по сравнению с историческим максимумом в $7,26, установленным в мае 2021 года.
Кроме того, на пять самых крупных потерь в результате взлома приходится почти половина украденных средств, выявленных на данный момент, сообщил ZachXBT.
Обновление: Новая крупнейшая жертва была найдена на Tron с 7,95 млн USDT,
На пять крупнейших потерь приходится $17M.
Мой график теперь превысил $35M в общем объеме украденного. pic.twitter.com/eqfXkm9vlL
— ZachXBT (@zachxbt) 4 июня 2023
В криптовалютной индустрии наблюдается рост числа атак по сравнению с прошлыми годами. Согласно исследованию компании Immunefi, в первом финансовом квартале 2023 года в результате 73 инцидентов было похищено примерно 440 долларов. Компания обнаружила, что на долю взломов приходится 95% потерянных средств, опережая мошенничество и другие виды вредоносной деятельности.
Возможно, некоторые средства, потерянные в результате использования эксплойта Atomic Wallet, могут быть восстановлены. По словам ZachXBT, с помощью псевдонима Jito Labs CEO Buffalo и сотрудника инфраструктурной компании MEV ему удалось спасти средства на сумму $1 млн.
Огромное спасибо @buffalu__ @brian_smith_0 за помощь в успешном спасении $1 млн от хакера Atomic Wallet для одной из жертв.
— ZachXBT (@zachxbt) 4 июня 2023
Буффало сообщил TCN через Twitter, что раскрытие методики команды по возврату средств может быть опасным и привести к еще большим потерям для других пострадавших. Однако Буффало надеется, что это решение может помочь другим.
«Я рад, что Зак [написал] мне, и мы смогли быстро найти решение», — сказал Баффало, отметив, что важно «помочь хотя бы одному человеку, а может и больше». Он добавил, что взлом «очень ужасен для всех пострадавших».