Третий взлом межцепочечных мостов менее чем за две недели. На этот раз это Meter Passport, мост компании Meter, который был взломан на сумму 4,3 миллиона долларов после обнаружения изъяна в его коде. Это также вызвало снижение стоимости НББ на Moonriver, что позволило пользователям оформлять более дешевые кредиты.
Мост счетчика взломан
Meter Passport, мост сайдчейна Meter, пострадал от взлома стоимостью 4,3 миллиона долларов 5 февраля около 15:00. Эксплойт задействует смарт-контракт Moonriver, который основан на Kusama, блокчейн-тестнете Polkadot.
Сообщество, мы очень признательны всем за терпение и поддержку, пока мы работаем над восстановлением работоспособности после утреннего эксплойта.
Мы подробно описали все в следующей теме:
— ⚡️Meter.io⚡️ (@Meter_IO) February 5, 2022
Согласно техническому отчету об атаке компании Certik, специализирующейся на безопасности блокчейна, хакер украл более $4,2 млн в ETH и $83 000 в wBTC (завернутый биткоин).
Предположительно, ему удалось внедрить вредоносный код в функцию депозита моста, создав впечатление, что он вложил wETH (обернутый эфир), а затем использовать его для майнинга токенов BNB и wETH для перепродажи на SushiSwap.
Чтобы замести следы, хакер отправил награбленное по протоколу Tornado Cash, который позволяет смешивать токены, чтобы сделать их неотслеживаемыми.
NBB амортизация на Moonriver
Но проблема, к сожалению, не ограничивается самим хаком. Хакер перепродал свои украденные BNB на бирже SushiSwap, что привело к обвалу цены токена на 77% на Moonriver.
В результате пользователи воспользовались ситуацией, чтобы купить NBB по более низкой цене на протоколе Hundred Finance, а затем использовать их в качестве залога, чтобы занять MIMs, FRAXs или ETHs.
Команда Hundred Finance публично попросила тех, кто воспользовался нарушением, вернуть свои средства, чтобы не наказывать все сообщество.
2/4. Аккаунты смогли приобрести BNB.bsc по сниженной цене и использовать эти токены в качестве залога по глобальной цене Chainlink для заимствования бескомпромиссных активов на нашей платформе. Из них в настоящее время под влиянием находятся MIM и FRAX.
— Hundred Finance (@HundredFinance) 6 февраля 2022
На момент написания статьи кредиты ETH были возвращены в полном объеме. Однако платформа по-прежнему испытывает дефицит в 3,3 миллиона долларов.
Однако компания Meter признала, что несет ответственность за сложившуюся ситуацию и обязуется выплатить компенсацию Hundred Finance:
Компания Meter, конечно же, взяла на себя ответственность за взлом и намерена использовать свой родной токен [MTRG] для возмещения ущерба, где это возможно. В настоящее время мы собираем различные адреса и соответствующую сумму по каждому из них». — Vfat, основатель Hundred Finance, в заявлении для Rekt News.
Кросс-чейн мосты в беде
Несмотря на этот удар, компания Meter смогла быстро отреагировать и объявила, что восполнила недостаток, вызванный взломом, вновь введя токены BNB и wETH в свою собственную платформу, чтобы восстановить первоначальное соотношение 1:1.
Однако это уже третий взлом моста за две недели, и, что более важно, он включает в себя три очень похожих процесса. Действительно, как мы сообщали 28 января, мост Qubit Finance пострадал от взлома на 80 миллионов долларов.
Менее чем через неделю настала очередь протокола Wormhole, который был ограблен на 320 миллионов долларов в форме wETH, что стало одной из крупнейших атак, когда-либо наблюдавшихся в мире децентрализованных финансов.
Поэтому 2022 год начинается довольно болезненно для межцепочечных мостов, которым, вероятно, придется удвоить свои усилия, чтобы (вновь) завоевать доверие пользователей.
