Trzeci w ciągu niespełna dwóch tygodni hack na mosty cross-chain. Tym razem chodzi o Meter Passport, mostek firmy Meter, który został wykorzystany na kwotę 4,3 miliona dolarów w wyniku błędu w jego kodzie. Spowodowało to również spadek wartości NBB na Moonriver, dzięki czemu użytkownicy mogli zaciągać tańsze pożyczki.
Meter’s bridge hacked
Meter Passport, most sidechain Meter, doznał włamania o wartości 4,3 mln dolarów 5 lutego około godziny 15:00. Exploit dotyczy smart kontraktu Moonriver, który jest oparty na Kusamie, testowanym przez Polkadot blockchainie.
Społeczność, naprawdę doceniamy cierpliwość i wsparcie wszystkich, którzy pracują nad przywróceniem działania po porannym exploicie.
Wszystko szczegółowo opisaliśmy w poniższym wątku:
– ⚡️Meter.io⚡️ (@Meter_IO) 5 lutego 2022
Według raportu technicznego z ataku sporządzonego przez Certik, firmę specjalizującą się w bezpieczeństwie blockchain, haker ukradł ponad 4,2 mln dolarów w ETH i 83 tys. dolarów w wBTC (owinięty bitcoin).
Rzekomo udało mu się wprowadzić złośliwy kod do funkcji depozytu mostowego, dzięki czemu wyglądało to tak, jakby zdeponował wETH (owinięty Ether), a następnie użył go do wybicia tokenów BNB i wETH w celu odsprzedaży na SushiSwap.
Aby zatrzeć ślady, haker wysłał swój łup za pomocą Tornado Cash, protokołu, który pozwala na mieszanie tokenów, aby uczynić je nieśledzalnymi.
NBB deprecjacja na Moonriver
Ale problem niestety nie kończy się na samym hacku. Haker odsprzedał swoje skradzione BNB na giełdzie SushiSwap, co spowodowało spadek ceny tokena o 77% na Moonriver.
W rezultacie użytkownicy wykorzystali sytuację, aby kupić NBB po niższej cenie na protokole Hundred Finance, a następnie użyć ich jako zabezpieczenia do pożyczenia MIM, FRAX lub ETH.
Zespół Hundred Finance publicznie zażądał, aby osoby, które skorzystały z naruszenia, zwróciły swoje fundusze, aby nie karać całej społeczności.
2/4. Rachunki były w stanie kupić BNB.bsc po obniżonej cenie i wykorzystać te tokeny jako zabezpieczenie po globalnej cenie Chainlink, aby pożyczyć bezkompromisowe aktywa na naszej platformie. Spośród nich, MIM i FRAX są obecnie dotknięte tym problemem.
– Hundred Finance (@HundredFinance) 6 lutego 2022
W momencie pisania tego tekstu, pożyczki ETH zostały zwrócone w całości. Wciąż jednak platforma odnotowuje deficyt w wysokości 3,3 mln dolarów.
Meter przyznał jednak, że jest odpowiedzialny za zaistniałą sytuację i zobowiązuje się do spłaty Hundred Finance:
Meter oczywiście przyjął odpowiedzialność za hack i zamierza użyć swojego natywnego tokena [MTRG] do zwrotu kosztów tam, gdzie to możliwe. Obecnie zbieramy różne adresy i odpowiednie kwoty dla każdego z nich.” – Vfat, założyciel Hundred Finance, w wypowiedzi dla Rekt News.
Mostki poprzeczne w tarapatach
Pomimo tego ciosu, Meter był w stanie szybko zareagować i ogłosił, że uzupełnił niedobór spowodowany przez hack poprzez ponowne wstrzyknięcie tokenów BNB i wETH do własnej platformy w celu przywrócenia pierwotnego stosunku 1:1.
Jest to jednak trzeci włam na most w ciągu dwóch tygodni, a co ważniejsze, dotyczy on trzech bardzo podobnych procesów. Rzeczywiście, jak informowaliśmy 28 stycznia, most Qubit Finance ucierpiał na skutek exploita o wartości 80 milionów dolarów.
Niespełna tydzień później przyszła kolej na protokół Wormhole, który został okradziony z 320 milionów dolarów w formie wETH, stanowiąc tym samym jeden z największych ataków w historii zdecentralizowanych finansów.
Rok 2022 rozpoczyna się więc dość boleśnie dla mostów typu cross-chain, które prawdopodobnie będą musiały podwoić swoje wysiłki, aby (ponownie) zdobyć zaufanie użytkowników.
