Miliony dolarów w kryptowalutach użytkowników zaginęły wśród użytkowników zdecentralizowanego Atomic Wallet. Projekt w sobotę przyznał się do kompromitacji i powiedział, że robi wszystko, co w jego mocy, aby zbadać widoczną lukę w zabezpieczeniach.
Fala kont na Twitterze stwierdziła, że zawartość ich portfeli została opróżniona ze środków, wywołując powszechne zaniepokojenie na Crypto Twitterze.
„To naprawdę przerażające” – powiedział na Twitterze Ignas, badacz DeFi. „Portfel Atomic, mimo że istnieje od lat, wciąż jest hakowany.”
To jest naprawdę przerażające.
Portfel Atomic, mimo że istnieje od lat, wciąż jest hakowany.
Wypróbowuję kilka portfeli programowych, ale dla spokoju ducha multisig wygrywa w przypadku długoterminowego przechowywania.
Niestety, nie jest to najbardziej przyjazny dla użytkownika sposób, ale będziesz lepiej spać w nocy…. pic.twitter.com/LJI0iFnVot
– Ignas | DeFi Research (@DefiIgnas) June 4, 2023
Według strony internetowej Atomic Wallet, portfel kryptowalutowy projektu ma ponad 5 milionów pobrań. Został on pierwotnie uruchomiony w 2017 roku jako Atomic Swap przez CEO Konstantina Gladycha, który jest również dyrektorem generalnym Changelly.com.
W niedzielę Atomic Wallet powiedział, że nie może potwierdzić, w jaki sposób doszło do ataków, ale zapewnił użytkowników, że współpracuje z „wiodącymi firmami ochroniarskimi” nad dochodzeniem i skontaktował się z organizacjami, które mogą pomóc w śledzeniu skradzionych funduszy, takich jak firmy analityczne i giełdy.
Update: Dochodzenie nadal trwa we współpracy z wiodącymi firmami zajmującymi się bezpieczeństwem. Zespół pracuje nad możliwymi wektorami ataku. Nic nie zostało jeszcze potwierdzone.
Zespół wsparcia zbiera adresy ofiar. Skontaktowaliśmy się z głównymi giełdami i firmami analitycznymi blockchain…
– Atomic – Crypto Wallet (@AtomicWallet) June 4, 2023
Atomic Wallet nie odpowiedział od razu na prośbę TCN o komentarz.
Niektóre konta na Twitterze stwierdziły, że exploit pozostał bez szwanku, ponieważ były w stanie przenieść środki do innego portfela na czas. Inni lamentowali, że stracili całą posiadaną kryptowalutę.
Atomic Wallet twierdzi, że jego produkt jest bezpieczny częściowo dlatego, że firma nie ma dostępu do poufnych informacji, takich jak klucze prywatne użytkowników, które są szyfrowane i przechowywane na urządzeniach użytkowników. Jednak Least Authority, firma audytorska, podniosła czerwone flagi w lutym 2021 r., stwierdzając, że Atomic Wallet jest „niewystarczająco bezpieczny w ochronie zasobów użytkowników i prywatnych danych”.
Do niedzieli zidentyfikowano skradzione środki o wartości ponad 35 milionów dolarów, zgodnie z pracą dochodzeniową wykonaną przez pseudonimowego blockchainowego detektywa ZachXBT. Jedna z ofiar straciła w wyniku tego incydentu stablecoina Tether o wartości prawie 8 milionów dolarów, powiedział ZachXBT.
Według CoinGecko, token ERC-20 AWC Atomic Wallet, który jest przedmiotem obrotu na zdecentralizowanych giełdach, takich jak Uniswap, spadł o ponad 13% do 0,22 USD w ciągu ostatnich 24 godzin. Cena ta stanowi ponad 96% spadek od rekordowego poziomu 7,26 USD, ustalonego w maju 2021 roku.
Ponadto pięć największych strat wynikających z naruszenia bezpieczeństwa stanowi prawie połowę skradzionych środków zidentyfikowanych do tej pory, powiedział ZachXBT.
Update: Nowa największa ofiara została znaleziona na Tronie ze skradzionymi 7,95 mln USDT,
Pięć największych strat to 17 mln USD.
Mój wykres przekroczył teraz 35 milionów dolarów skradzionych łącznie. pic.twitter.com/eqfXkm9vlL
– ZachXBT (@zachxbt) June 4, 2023
Branża kryptowalut odnotowała wzrost liczby ataków w porównaniu z poprzednimi latami, z szacunkową kwotą 440 USD skradzioną w pierwszym kwartale fiskalnym 2023 r. w ramach 73 incydentów, wynika z badań przeprowadzonych przez Immunefi. Firma stwierdziła, że hakerzy odpowiadali za 95% utraconych środków, wyprzedzając oszustwa i inne formy złośliwej działalności.
Możliwe, że część środków utraconych w wyniku exploita Atomic Wallet można odzyskać. Z pomocą pseudonimowego CEO Jito Labs, Buffalo i pracownika firmy infrastrukturalnej MEV, ZachXBT powiedział, że był w stanie pomóc uratować fundusze o wartości 1 miliona dolarów.
A huge shoutout goes to @buffalu__ @brian_smith_0 for helping us successfully rescue $1m from the Atomic Wallet hacker for one of the victims.
– ZachXBT (@zachxbt) June 4, 2023
Buffalo powiedział TCN za pośrednictwem Twittera, że ujawnienie metodologii zespołu w celu odzyskania funduszy może być niebezpieczne i prowadzić do większych strat dla innych ofiar. Buffalo ma jednak nadzieję, że rozwiązanie może pomóc innym.
„Cieszę się, że Zach [wysłał mi wiadomość] i mogliśmy szybko znaleźć rozwiązanie” – powiedział Buffalo, mówiąc, że ma to znaczenie, aby „pomóc przynajmniej jednej osobie, a może nawet więcej”. Dodał, że włamanie jest „bardzo straszne dla wszystkich zaangażowanych ofiar”.
