Самая крупная атака в 2022 году на данный момент, в результате которой злоумышленник «одолжил» $80 млн под $185 млн украденного залога.
Эксплойт в протоколе децентрализованного финансирования (DeFi) Qubit Finance позволил вчера одному хакеру уйти с 80 миллионами долларов в украденной криптовалюте.
Конкретный недостаток смарт-контракта, который позволил осуществить атаку, находился в X-Bridge, межцепочечном мосте, который облегчает обмен токенами между Ethereum и Binance Smart Chain.
Этот недостаток позволил злоумышленнику ввести вредоносные данные без внесения Ethereum и получить взамен Qubit xETH (актив, представляющий собой мост Ethereum на Binance Smart Chain) на сумму 185 миллионов долларов.
Затем злоумышленник использовал эти деньги в качестве залога, чтобы «одолжить» криптовалюту на сумму около 80 миллионов долларов у различных кредитных пулов.
Согласно данным аудиторской компании CertiK, полная сумма похищенных активов составляет 15 688 wETH ($37,6 млн), 767 BTC-B ($28,5 млн), около $9,5 млн в stablecoin и $5 млн в токенах CAKE, BUNNY и MDX.
Поскольку злоумышленник так и не конвертировал свой «залог» qXETH, общая стоимость кражи для Qubit Finance составляет 80 миллионов долларов.
Qubit предлагает криптовалюту за вознаграждение
Qubit Finance опубликовала сегодня в блоге сообщение с полным описанием атаки.
На странице Qubit в Twitter команда также написала, что «рада пообщаться с [нападавшим]». Она приложила скриншот сообщения, в котором говорится, что Qubit «готова предложить [злоумышленнику] максимальное вознаграждение за раскрытый эксплойт», чтобы «минимизировать влияние на сообщество. «
Наше сообщение эксплуататору].
Команда рада провести с вами беседу.https://t.co/4SxtuD6pQY pic.twitter.com/V9bICKvWda— Qubit Finance (@QubitFin) January 28, 2022
Аналитики по безопасности блокчейна Peckshield сообщили в Твиттере в пятницу утром, что провели аудит протокола кредитования Qubit Finance и вскоре предоставят более подробную информацию.
Кажется, QBridge компании @QubitFin взломан, чтобы намайнить огромное количество залога xETH и слить из пула около $80M. Обратите внимание, что мы проверяли Qubit-кредитование, а не QBridge! Дальше будет больше…
— PeckShield Inc. (@peckshield) 27 января 2022
Хотя эта атака стала самой крупной в этом году, это не первый межцепочечный взлом в 2022 году.
На прошлой неделе хакер в белых шляпах украл 1,73 миллиона долларов из Multichain, вернув 900 000 долларов, а остальное забрав себе в качестве вознаграждения.
Поскольку различные блокчейны становятся популярными, а вместе с ними растет и активность межцепочечного взаимодействия, ожидается, что такие проекты, как Qubit и Multichain, станут ключевыми целями для хакеров.
