Bij de grootste aanval in 2022 tot nu toe heeft een aanvaller $80 miljoen “geleend” tegen $185 miljoen aan gestolen onderpand.
Een exploit in het gedecentraliseerde financiële (DeFi) protocol Qubit Finance stelde een hacker gisteren in staat om weg te lopen met $80 miljoen aan gestolen crypto.
De specifieke smart contract fout die de aanval mogelijk maakte bevond zich in X-Bridge, een cross-chain brug die gemakkelijke token swaps tussen Ethereum en Binance Smart Chain faciliteert.
Deze fout stelde de aanvaller in staat om kwaadaardige gegevens in te voeren zonder Ethereum te storten en in ruil daarvoor $185 miljoen aan Qubit xETH te ontvangen (een actief dat overbrugde Ethereum op de Binance Smart Chain vertegenwoordigt).
De aanvaller gebruikte dit geld vervolgens als onderpand om ongeveer $80 miljoen aan crypto te “lenen” van verschillende leenpools.
De volledige uitsplitsing van de ontvreemde activa bedraagt 15.688 wETH ($37,6 miljoen), 767 BTC-B ($28,5 miljoen), ongeveer $9,5 miljoen in stablecoins, en $5 miljoen in CAKE, BUNNY, en MDX tokens, volgens auditfirma CertiK.
Aangezien de aanvaller nooit zijn qXETH “onderpand” heeft geconverteerd, bedragen de totale kosten van de diefstal voor Qubit Finance $80 miljoen.
Qubit biedt crypto bounty
Qubit Finance publiceerde vandaag een blogpost met een play-by-play uitsplitsing van de aanval in zijn geheel.
Op de Twitter-pagina van Qubit, tweette het team ook dat het “blij is om een gesprek te hebben met [de aanvaller].” Het voegde een screenshot bericht toe waarin staat dat Qubit “bereid is om [de aanvaller] de maximale bounty te bieden voor de onthulde exploit” om “het effect op de gemeenschap te minimaliseren. “
Onze boodschap aan de uitbuiter]
Het team is blij om een gesprek met u te hebben.https://t.co/4SxtuD6pQY pic.twitter.com/V9bICKvWda– Qubit Finance (@QubitFin) Januari 28, 2022
Blockchain beveiligingsanalisten Peckshield tweette vrijdagochtend dat het het leenprotocol van Qubit Finance had geaudit en binnenkort meer details zal geven.
Het lijkt erop dat de QBridge van @QubitFin is gehackt om een enorm bedrag aan xETH onderpand te slaan en de poolfondsen ongeveer $80M leeg te laten lopen. Let op: we controleerden de Qubit-lening, niet de QBridge! Meer volgt…
– PeckShield Inc. (@peckshield) Januari 27, 2022
Hoewel deze aanval de grootste was dit jaar, was het niet de eerste cross-chain hack in 2022.
Vorige week stal een white-hat hacker $1,73 miljoen van Multichain alvorens $900.000 terug te geven en de rest op te strijken als een bounty.
Naarmate verschillende blockchains populairder worden en de cross-chain activiteit daarmee groeit, wordt verwacht dat projecten als Qubit en Multichain belangrijke doelwitten worden voor hackers.
