Haker ukradł 50 mln dolarów i zostawił kuriozalną wiadomość. „Jestem zmęczony, dajcie mi pospać”

Życie cyberprzestępcy do łatwych nie należy. Przekonała się o tym wczoraj zdecentralizowana giełda (DEX) KyberSwap, która została najnowszą ofiarą wyrafinowanego exploita skutkującego wyczyszczeniem protokołu z sumy blisko 46 milionów dolarów amerykańskich. Atakujący zastosował skomplikowane metody manipulacji pulą płynności i inteligentnymi kontraktami, tworząc w rezultacie coś, co eksperci nazwali „błędem pozwalającym na wydrukowanie nieskończonej ilości pieniędzy”. Nie jest to niestety pierwszy tego typu incydent w sektorze zdecentralizowanych finansów ani zapewne ostatni. To, co jednak wyróżnia wczorajszy przypadek to osobowość i bezczelność samego hakera. Posłuchajcie.

Analiza post-mortem

Luka w zabezpieczeniach, skrupulatnie opisana na X (Twitterze) przez założyciela Ambient Finance, Douga Colkitta, obejmowała szereg doskonale przekalkulowanych kroków mających na celu ominięcie wbudowanych kontroli inteligentnych kontraktów platformy KyberSwap. Subtelnie manipulując pulami płynności poprzez precyzyjne obliczenia, atakujący skutecznie oszukał protokół, ostatecznie drenując ponad 46 milionów dolarów z wielu źródełek jednocześnie.

Analiza Colkitta ujawnia, że atak opierał się na unikalnych cechach skoncentrowanej implementacji płynności KyberSwap. Na chwilę obecną, zdaniem eksperta, inne znane platformy, takie jak Uniswap czy Ambient Finance, wydają się być zabezpieczone przed tym konkretnym problemem, pokazuje to jednak że cyberprzestępca wiedział dokładnie w który projekt uderzyć.

Podejście atakującego obejmowało wieloetapową strategię wykorzystującą pożyczki błyskawiczne do manipulowania cenami i płynnością. Po opróżnieniu puli ETH/wstETH, niewielki strumień płynności został wybity w określonym przedziale cenowym, tworząc coś, co Colkitt opisuje jako „czyste płótno” (ang. blank canvas) do manipulacji. Kolejne swapy, wykonywane z niesamowitą dokładnością, pozwoliły atakującemu na podwójne naliczenie płynności, umożliwiając wypłatę środków przekraczających początkowy depozyt.

KyberSwap zareagował na naruszenie bezpieczeństwa błyskawicznie, zalecając swoim użytkownikom natychmiastowe wycofanie wszystkich ulokowanych funduszy. To jednak nie koniec. Pojawiły się też informacje o próbach oszukania przez niepowiązane z hakerem hieny osób próbujących desperacko wypłacić swoje środki.

https://twitter.com/KyberNetwork/status/1727475235342217682?s=20

Zobacz też: Kolejna giełda kryptowalut zhackowana! Wyprowadzono z niej 120 milionów dolarów naszych środków

Jest źle, ale mogło być gorzej

Atakujący, który nadal pozostaje anonimowy, ukradł w sumie ponad 20 milionów dolarów na łańcuchu Arbitrum, 15 milionów dolarów z ekosystemu Optimism oraz 7 milionów dolarów z sieci Ethereum. Wstępne audyty sugerowały, że skradzione aktywa składały się głównie z ETH, Wrapped Ether (wETH) oraz stablecoinów USDC.

fot. DeBank

Incydent odbił się więc naturalnie na tzw. całkowitej wartości zablokowanej zdecentralizowanej giełdy (TVL), która, jak donosi portal DeFiLlama, spadła w wyniku ataku i jego pokłosia z ponad 87 milionów dolarów do około 8 mln USD.

fot. DeFiLlama

Natywny token KyberSwap, $KNC, zareagował na całą sytuację dość mocnymi spadkami: jego cena skurczyła się w następstwie exploita sumarycznie o ok. 7,6%. Nie jest to łatwy czas dla deweloperów platformy, natomiast biorąc pod uwagę dynamikę kursu wygląda ona dużo lepiej niż wskazywałaby na to sytuacja.

fot. Coinbase

Zobacz też: Włamali się do domu i torturowali domowników. Szwecja zmaga się z falą napadów rabunkowych z Bitcoin-em w tle

Wielkie ego cyberprzestępcy

Żeby tego było mało, oszust, jak się okazuje, ma też godny podziwu tupet. Gdy tylko kurz podniesiony chaotyczną akcją i reakcją opadł na ziemię, haker pozostawił na blockchainie deweloperom oraz śledczym pewną wiadomość. Brzmi ona następująco:

„Drodzy programiści KyberSwap, pracownicy, członkowie DAO oraz dostawcy płynności,

Negocjacje rozpoczną się za kilka godzin kiedy już wypocznę.

Dzięki.”

Oryginał:

fot. Etherscan

Na moment powstawania tego artykułu sprawa pozostaje w martwym punkcie. Zapewne nic się nie „rozejdzie”, natomiast wiadomość zostawiona przez atakującego pozostawia pewną nadzieję, że nie planuje on (być może nieudolnie) zatrzymać wszystkich skradzionych funduszy. Zazwyczaj instytucjonalne ofiary cyberprzestępców dają im pewne okienko czasowe na dobrowolne przekazania nieuczciwie zarobionych pieniądzy, z zastrzeżeniem, że niewielką ich część mogą dla siebie zachować jako „znaleźne”.

Czy tak będzie w tym przypadku? Zobaczymy.

Może Cię zainteresować:

Dziękujemy, że przeczytałeś/aś nasz artykuł do końca. Obserwuj nas w Wiadomościach Google i bądź na bieżąco!
Kryptowaluty bezpiecznie kupisz lub sprzedasz w sieci kantorów i bitomatów FlyingAtom