2023-4-10 16:30 |
Баг в децентрализованном протоколе SushiSwap привёл к потере миллионов долларов в крипте 9 апреля, то есть на этих выходных. Всё началось с того, что компании по кибербезопасности CertiK Alert и Peckshield сообщили о необычной активности, связанной с функцией одобрения в контракте Router Processor 2 от платформы SushiSwap. Это смарт-контракт, который агрегирует торговую ликвидность из нескольких источников и определяет наиболее выгодную цену для обмена монет. В течение нескольких часов ошибка привела к убыткам в размере 3.3 миллиона долларов. Рассказываем о ситуации подробнее.
Отметим, что в первом квартале 2023 года активность криптовалютных хакеров и мошенников снизилась. В частности, они получили со своих жертв эквивалент 452 миллионов долларов, что было почти в три раза меньше от соответствующего результата в 2022 году. Тогда хакеры «заработали» эквивалент более 1.3 миллиарда долларов.
Криптовалютные мошенники
Причём крупнейшей целью для мошенников оказались как раз децентрализованные платформы. Они принесли им 74 процента от общей суммы украденных активов.
Векторы атаки злоумышленников в первом квартале 2023 года
Судя по всему, данная статистика будет пополняться и во втором квартала этого года. Всему виной успешная активность хакеров при взаимодействии с децентрализованной биржей SushiSwap.
Как взломали SushiSwap?По словам разработчика DefiLlama 0xngmi, инцидент угрожает потерей средств владельцам кошельков, которые взаимодействовали с децентрализованной платформой на протяжении нескольких дней до взлома.
Почему в зоне риска оказались пользователи, которые взаимодействовали с биржей накануне? Всему виной разрешения, которые юзеры дают смарт-контракту биржи перед работой с ней. В случае с децентрализованными обменниками пользователь вынужден разрешить соответствующему смарт-контракту отправлять монеты с его кошелька, что необходимо для проведения сделок. А значит задействование здесь мошенников-программистов может привести к краже криптоактивов людей, которые ранее согласились на условия взаимодействия с платформой.
В таких ситуация необходимо отозвать предоставленные разрешения взломанной платформе. Сделать это можно односторонне. К примеру, в сети Эфириума отзывать разрешения позволяет специальная платформа Revoke.cash.
Уязвимость в коде смарт-контракта
Если вы оказались в числе тех, кто подтверждал транзакции со смарт-контрактом по ссылке, немедленно отзовите одобрение переводов. Согласно данным источников Cointelegraph, об этом также сообщил главный разработчик платформы Джаред Грей.
Смарт-контракт с уязвимостью
В результате уязвимости соучредитель обанкротившейся канадской биржи QuadrigaCX Майкл Патрин (0xsifu) потерял около 1800 ETH, то есть примерно 3.3 миллиона долларов по курсу монеты на момент возникновения проблем.
Транзакции с выводом средств в ходе атаки
Любитель криптовалют под ником Trust в Твиттере заявил, что он первым обнаружил уязвимость, вывел принадлежащие Патрину 100 ETH и попытался уведомить его об инциденте. Однако злоумышленники проследили вектор атаки и повторили её, что привело разве что к увеличению убытков. Сам Trust предположительно является белым хакером, то есть человеком, который использует найденные уязвимости для взлома платформы с последующим возвращением криптоактивов их владельцам. Это нужно для того, чтобы до монет аналогичным образом не добрались полноценные хакеры, которые не станут возвращать украденные деньги.
Через несколько часов после инцидента Грей написал в Твиттере, что «большая часть средств» была возвращена. На данный момент эксперты работают над возвращением оставшихся 700 ETH.
😈 БОЛЬШЕ ИНТЕРЕСНОГО МОЖНО НАЙТИ У НАС В ЯНДЕКС.ДЗЕНЕ!
В целом последние выходные для комьюнити SushiSwap оказались по-настоящему богатыми на события, причём не только из-за взлома. В субботу Джаред Грей также заявил, что в марте Комиссия по ценным бумагам и биржам США (SEC) отправила ему повестку с требованием предоставить больше информации и документов о платформе SushiSwap. Разработчик отметил, что дальнейшие действия регулятора остаются неизвестными. Вот соответствующая цитата.
Мы не знаем так или иначе, пыталась ли Комиссия вручить повестку какому-либо другому физическому или юридическому лицу, которое по её мнению представляет сообщество SushiSwap.
Отметим, что накануне представители Министерства финансов США выпустили доклад об индустрии децентрализованных финансов. В нём было отмечено, что DeFi-платформы, которые не соответствуют нормам борьбы с отмыванием денег и прочими финансовыми преступлениями, представляют собой риск для традиционной экономики. Соответственно, дальше под прицелом регуляторов могут оказаться и такие площадки.
Грей и его адвокаты заверили сообщество, что расследование не подразумевает никаких правонарушений. Вот соответствующая реплика.
Расследование не означает, что Комиссия по ценным бумагам пришла к выводу, что Джаред, его работодатель Internet Three Software Company или Sushi нарушили какой-либо закон. Также расследование не означает, что у регулятор есть негативное мнение о каком-либо лице, организации или активе.
Официальное заявление Джареда Грея касательно активности Комиссии по ценным бумагам и биржам США
Впрочем, такие новости выглядят тревожно на фоне действий Комиссии в прошлом. Всё же ранее Комиссия запретила стейкинг на платформе Kraken для американских клиентов, а также эмиссию стейблкоина BUSD компанией Paxos. Кроме того, регулятор угрожает судебным иском крупнейшей американской криптобирже Coinbase.
И хотя пока для Sushi якобы нет никакой угрозы, это не означает, что в будущем регулятор не предпримет более радикальных действий. Пока что он усиленно давит на криптоиндустрию, так что на фоне таких опасений стоимость альткоина данной экосистемы может также оказаться в зоне риска.
Подобные ситуации показывают, что пользователям криптовалют лучше регулярно отзывать разрешения от смарт-контрактов, с которыми они больше не взаимодействуют. Это позволит не переживать о последствиях возможного взлома и обезопасить собственные монеты. Также надёжнее держать основную часть криптовалют на аппаратном кошельке, чтобы они были под дополнительной защитой. Напомним, аппаратные кошельки подписывают транзакции за пределами интернета, благодаря чему они не раскрывают приватные ключи. Таким образом хакеры не могут получить доступ к адресу и опустошить его.
Следите за развитием событий в нашем крипточате. Так получится не пропустить больше интересных новостей из мира децентрализованных активов и финансов.
ПОДПИСЫВАЙТЕСЬ НА НАШ КАНАЛ В ТЕЛЕГРАМЕ, ЧТОБЫ БЫТЬ В КУРСЕ.
Аналог Notcoin - TapSwap Получай Бесплатные Монеты
SushiSwap (SUSHI) на Currencies.ru
|
