Dosud největší útok v roce 2022, kdy si útočník „půjčil“ 80 milionů dolarů proti 185 milionům dolarů v ukradeném kolaterálu.
Zneužití decentralizovaného finančního (DeFi) protokolu Qubit Finance umožnilo včera jednomu hackerovi odejít s 80 miliony dolarů v ukradených kryptoměnách.
Konkrétní chyba v chytrém kontraktu, která útok umožnila, se nacházela v X-Bridge, cross-chain mostu, který usnadňuje snadnou výměnu tokenů mezi Ethereem a Binance Smart Chain.
Tato chyba umožnila útočníkovi zadat škodlivá data, aniž by vložil Ethereum, a na oplátku získat Qubit xETH (aktivum, které představuje přemostěné Ethereum na Binance Smart Chain) v hodnotě 185 milionů dolarů.
Tyto peníze pak útočník použil jako zástavu k „vypůjčení“ kryptopeněz v hodnotě asi 80 milionů dolarů od různých úvěrových poolů.
Úplný rozpis uloupených aktiv činí podle auditorské společnosti CertiK 15 688 wETH (37,6 milionu USD), 767 BTC-B (28,5 milionu USD), přibližně 9,5 milionu USD ve stablecoinech a 5 milionů USD v tokenech CAKE, BUNNY a MDX.
Vzhledem k tomu, že útočník svůj „kolaterál“ qXETH nikdy nepřevedl, činí celkové náklady na krádež pro společnost Qubit Finance 80 milionů dolarů.
Qubit nabízí krypto odměnu
Qubit Finance dnes na svém blogu zveřejnila příspěvek s přehledným rozborem celého útoku.
Na stránce společnosti Qubit na Twitteru tým také napsal, že je „rád, že si s [útočníkem] může promluvit“. Připojil zprávu se snímkem obrazovky, ve které se uvádí, že společnost Qubit je „připravena nabídnout [útočníkovi] maximální odměnu za odhalený exploit“, aby „minimalizovala dopad na komunitu“.
[Naše zpráva pro zneuživatele]
Tým si s vámi rád popovídá.https://t.co/4SxtuD6pQY pic.twitter.com/V9bICKvWda– Qubit Finance (@QubitFin) 28. ledna 2022
Blockchainová bezpečnostní analytická společnost Peckshield v pátek ráno na Twitteru uvedla, že provedla audit úvěrového protokolu společnosti Qubit Finance a brzy poskytne další podrobnosti.
Vypadá to, že QBridge @QubitFin je hacknutý, aby vytěžil obrovské množství xETH kolaterálu a odčerpal z fondu asi 80 milionů dolarů. Vezměte prosím na vědomí, že jsme kontrolovali půjčování Qubit, nikoli QBridge! Více se dozvíte…
– PeckShield Inc. (@peckshield) 27. ledna 2022
Ačkoli byl tento útok největším v tomto roce, nejednalo se o první cross-chain hack v roce 2022.
Minulý týden white-hat hacker ukradl z Multichainu 1,73 milionu dolarů, poté vrátil 900 000 dolarů a zbytek si strčil do kapsy jako odměnu.
Vzhledem k tomu, že různé blockchainy se stávají populárními a spolu s nimi roste i aktivita cross-chain, očekává se, že projekty jako Qubit a Multichain se stanou klíčovými cíli hackerů.