Największy jak dotąd atak w 2022 roku, w którym atakujący „pożyczył” $80 milionów dolarów w zamian za $185 milionów w skradzionym zabezpieczeniu.
An exploit w zdecentralizowanym protokole finansowym (DeFi) Qubit Finance umożliwił wczoraj jednemu hakerowi odejście z 80 milionami dolarów w skradzionych kryptowalutach.
Konkretna wada w inteligentnym kontrakcie, która umożliwiła atak, znajdowała się w X-Bridge, mostku międzyłańcuchowym, który ułatwia łatwą wymianę tokenów między Ethereum i Binance Smart Chain.
Błąd ten umożliwił atakującemu wprowadzenie złośliwych danych bez deponowania Ethereum i otrzymanie w zamian $185 milionów w Qubit xETH (aktywa, które reprezentuje zmostkowane Ethereum na Binance Smart Chain).
Atakujący następnie wykorzystał te pieniądze jako zabezpieczenie, aby „pożyczyć” kryptowaluty o wartości około 80 milionów dolarów od różnych puli pożyczkowych.
Pełny podział skradzionych aktywów wynosi 15 688 wETH (37,6 mln USD), 767 BTC-B (28,5 mln USD), około 9,5 mln USD w stablecoinach i 5 mln USD w tokenach CAKE, BUNNY i MDX, według firmy audytowej CertiK.
Ponieważ atakujący nigdy nie przekonwertowali swojego „zabezpieczenia” qXETH, całkowity koszt kradzieży dla Qubit Finance wynosi 80 milionów dolarów.
Qubit offers crypto bounty
Qubit Finance opublikował dziś wpis na blogu, w którym opisał atak w całości.
Na stronie Qubit na Twitterze, zespół również zatweetował, że jest „zadowolony z rozmowy z [atakującym]”. Załączył też zrzut ekranu z informacją, że Qubit jest „gotowy zaoferować [atakującemu] maksymalną nagrodę za ujawniony exploit”, aby „zminimalizować wpływ na społeczność”. „
Nasza wiadomość do autora exploita]
Zespół z przyjemnością odbędzie z Tobą rozmowę.https://t.co/4SxtuD6pQY pic.twitter.com/V9bICKvWda– Qubit Finance (@QubitFin) 28 stycznia 2022
Analityk bezpieczeństwa blockchain Peckshield zatweetował w piątek rano, że przeprowadził audyt protokołu pożyczkowego Qubit Finance i wkrótce przedstawi dalsze szczegóły.
Wygląda na to, że QBridge z @QubitFin został zhakowany w celu wybicia ogromnej ilości xETH jako zabezpieczenia i spuszczenia z puli środków około $80M. Proszę zauważyć, że przeprowadziliśmy audyt Qubit lending, a nie QBridge! Więcej w przyszłości…
– PeckShield Inc. (@peckshield) January 27, 2022
Chociaż ten atak był największym w tym roku, nie był to pierwszy cross-chain hack w 2022 roku.
W zeszłym tygodniu, white-hat haker ukradł $1,73 mln z Multichain przed zwróceniem $900,000 i kieszeni resztę jako bounty.
Ponieważ różne blockchainy stają się popularne, a aktywność cross-chain rośnie wraz z nimi, oczekuje się, że projekty takie jak Qubit i Multichain staną się kluczowymi celami dla hakerów.