Renegade.fi susigrąžino apie 190 000 USD po to, kai „whitehat“ įsilaužėlis pasinaudojo vieno iš „Arbitrum“ pagrindu veikiančių tamsiųjų telkinių pažeidžiamumu ir vėliau grąžino daugiau nei 90% pavogto turto.
Santrauka
- Renegade atgavo apie 190 000 USD po to, kai baltos kepurės įsilaužėlis grąžino daugiau nei 90% pavogtų lėšų.
- Išnaudojimas buvo nukreiptas į sugedusią funkciją, susietą su Renegade V1 Arbitrum tamsiu baseinu.
„Blockchain“ saugos įmonė „Blockaid“ pranešė, kad sekmadienį 8.27 val. UTC „Renegade“ V1 Arbitrum tamsiajame baseine buvo išnaudota maždaug 209 000 USD, kai užpuolikas įterpė kenkėjišką logiką į sugedusią funkciją, susietą su protokolo sprendiklio infrastruktūra.
„Arbiscan“ duomenys parodė, kad vėliau piniginės adresu „0xE4A…5CFBE“ buvo išsiųsta apie 190 000 USD, įskaitant 84 370 USD USDC (USDC), 27 885 USD supakuotu Bitcoin ir 23 950 USD įpakuotu eteriu.
Po atakos išsiųstame tinkliniame pranešime Renegade’as išnaudotojui pasiūlė 10% „balto atlygio“ mainais už likusių lėšų grąžinimą ir perspėjo, kad nesugebėjimas bendradarbiauti gali sukelti potencialių „civilinių ar baudžiamųjų veiksmų“. Per 45 minutes užpuolikas grąžino daugiau nei 90% turto.
„Aš mačiau daug paniekos savo veiksmams“, – rašė „whitehat“ atsakyme, kuriuo pasidalino onchain.
„Nors suprantu, kad tai, ką padariau, nebuvo etiška, dabartinio DeFi kibernetinio saugumo srityje manau, kad tai buvo geriausias sprendimas apsaugoti vartotojų lėšas ir užtikrinti jų saugumą.
Kitoje išnaudotojo žinutėje teigiama, kad pažeidžiamumas buvo „labai paprastas ir blogas“, tačiau taip pat teigiama, kad su Šiaurės Korėja susiję įsilaužėliai „niekada neateitų derėtis“.
Sugedusi migracija atidengtas Arbitrum tamsus baseinas
„Renegade“ patvirtino, kad incidentas kilo dėl diegimo kodo, kuris nesugebėjo priskirti aiškaus sutarties savininko, kartu su klaidingu perkėlimu, įvestu 2025 m. balandžio mėn. programinės įrangos atnaujinimo metu.
Remiantis protokolu, trūkumas leido bet kam perrašyti išmaniąją sutartį, prijungtą prie V1 Arbitrum tamsaus baseino.
Tamsūs telkiniai leidžia dideliems prekiautojams vykdyti sandorius privačiai, neatskleidžiant pavedimo dydžio ar krypties atvirai rinkai. „Renegade“ teigė, kad tik 7% jos prekybos veiklos buvo vykdoma per paveiktą „V1 Arbitrum“ fondą ir pridūrė, kad paveiktiems vartotojams bus kompensuojama tiesiogiai.
Tikimasi, kad artimiausiomis dienomis protokole bus paskelbta pomirtinė ir „visa pagrindinės priežasties analizė“.
Naujausi išnaudojimai, susiję su sprendimo sistemomis, tarpinio serverio sutartimis ir administratoriaus leidimais, paskatino naują DeFi infrastruktūros projektavimo priežiūrą.
Gegužės 7 d. likvidumo tiekėjas „TrustedVolumes“ prarado maždaug 5,87 mln. USD, kai užpuolikai nusitaikė į pasirinktinį RFQ apsikeitimo tarpinį serverį, susietą su 1 colio infrastruktūra. „Blockaid“ susiejo užpuoliką su 2025 m. kovo mėn. 1 colio „Fusion V1“ išnaudojimu, nors teigė, kad naujesnis incidentas buvo pagrįstas atskiru pažeidžiamumu, susijusiu su tarpinio serverio sąranka.
Diskusijos dėl sutarčių rizikos dar labiau sustiprėjo po to, kai 1 colio įkūrėjas Sergej Kunz sukritikavo bendrojo fondo skolinimo sistemas po Kelp DAO rsETH išnaudojimo, sutrikdžiusio Aave likvidumą.
Kunzas teigė, kad „vienas silpnas užstato sąrašas gali paveikti visą rezervą“, o vėliau skatino tikslinėmis skolinimo sistemas, kuriose vartotojai derasi dėl fiksuotų paskolos sąlygų, nepasitikėdami bendrais likvidumo fondais.
Atskiros crypto.news ataskaitos taip pat parodė, kad „Wasabi Protocol“ prarado daugiau nei 5 mln. USD per „Ethereum“, „Base“, „Berachain“ ir „Blast“, kai saugos įmonės nustatė pažeistą administratoriaus raktą, leidžiantį užpuolikams atnaujinti sutartis ir išeikvoti lėšas.
