20 Мая 2026 23:45
Новости
  11:37    22.4.2020

Хакеры украли 25 млн долларов у биржи Uniswap и платформы Lendf[.]me

Хакеры украли 25 млн долларов у биржи Uniswap и платформы Lendf[.]me
pixabay.com
В минувшие выходные злоумышленники атаковали децентрализованную биржу Uniswap и платформу Lendf.me. Хотя расследование случившегося еще далеко от завершения, уже известно, что хакеры похитили примерно 25 млн долларов в криптовалюте, эти два нападения были связаны между собой, и, вероятно, осуществлялись одной и той же группой или человеком.
По словам следователей, для этой атаки злоумышленники объединили уязвимости и различные легитимные возможности блокчейн-технологий, в итоге осуществив сложную reentrancy-атаку (атака повторного входа или рекурсивный вызов). Такие атаки позволяют хакерам выводить средства в цикле, пока их исходная транзакция не будет одобрена или отклонена.

Сообщается, что Uniswap и Lendf.me имели много общего. В частности, обе платформы использовали:

протокол Lendf.me— протокол децентрализованного финансирования (decentralized finance, DeFi), разработанный dForce Foundation для поддержки кредитных операций на платформе Ethereum;
imBTC— токен The Tokenized Bitcoin, который работает на платформе Ethereum и привязан к Bitcoin и его стоимости в соотношении 1:1;
ERC-777— одна из базовых технологий блокчейна Ethereum, предназначенная для поддержки смарт-контрактов (и Lendf.me, и imBTC работают как смарт-контракты на платформе Ethereum).
«Как известно, стандарт ERC-777 не имеет уязвимостей, однако комбинация использования ERC777 и контрактов Uniswap/Lendf.Me делает возможными reentrancy-атаки», — пишут эксперты разработчики Tokenlon, компании, стоящей за разработкой imBTC.

В компании считают, что хакеры использовали публично доступный эксплоит, опубликованный на GitHub в июле 2019 года компанией OpenZeppelin, которая проводит аудит безопасности для криптовалютных платформ - https://github.com/ConsenSys/Uniswap-audit-report-2018-12#31-liquidity-pool-can-be-stolen-in-some-tokens-eg-erc-777-29.

По предварительным оценкам, на данный момент Uniswap лишилась от 300 000 до 1 100 000 долларов США, тогда как у Lendf.me было похищено более 24 500 000 долларов США, то есть практически все активы платформы. Хакеры использовали атаку повторного входа, чтобы перевести средства с каждой платформы на свой кошелек, а затем сразу же вывели украденное на другие счета.

Оба сайта временно не работают для предотвращения дальнейших атак. Разработчики Tokenlon тоже приостановили действие imBTC и блокируют любые новые транзакции, чтобы не позволить хакерам развить активность и атаковать другие платформы.

Источник -  xakep.ru

Оставить комментарий

4 главные под байкой - Читайте также

Читайте также

4 главные под байкой

  • Наркотики на полмиллиона и лаборатория в Латгалии: трое идут под суд (фото, видео)

    Наркотики на полмиллиона и лаборатория в Латгалии: трое идут под суд (фото, видео)
    Восточного прокуратура Риги передала в суд крупное дело по наркотикам против трех человек — 2 мужчин и женщины. Подсудимых обвиняют в нелегальном производстве, приобретении, перевозке и хранении психотропных веществ в крупном размере, совершенных в составе организованной группы с целью сбыта.
  • Фейковые лекарства для больных: накрыли бизнес на 240 миллионов евро (видео) <span class="comment-count">(2)</span>

    Фейковые лекарства для больных: накрыли бизнес на 240 миллионов евро (видео) (2)
    12 мая правоохранители из 15 стран, включая Латвию, провели совместную операцию по ликвидации преступной группировки, которая наживалась на доверии тяжелобольных людей. Мошенники продавали поддельные препараты и добавки под видом легальных лекарств. На этом они заработали более 240 миллионов евро. Расследование, проходившее при активной поддержке Евроюста и Европола, позволило задержать ключевых…
  • Взлом банкомата со взрывом и погибшим в Болдерае: приговорили 3 участников <span class="comment-count">(1)</span>

    Взлом банкомата со взрывом и погибшим в Болдерае: приговорили 3 участников (1)
    Верховный суд Латвии (Сенат) поставил точку в громком деле о попытке взорвать банкомат "Citadele banka" в Риге. Чтобы добраться до денег, взломщики использовали самодельные баллоны, и это привело к трагедии - один из них погиб. Сенат 8 мая отклонил кассационные жалобы защиты по делу "о попытке кражи и умышленном повреждении чужого имущества опасным…
  • Смертельный взрыв в т/ц«Atpūta» в Екабпилсе: владельца фирмы отправили под суд <span class="comment-count">(1)</span>

    Смертельный взрыв в т/ц«Atpūta» в Екабпилсе: владельца фирмы отправили под суд (1)
    Прокуратура передала в суд материалы дела о взрыве отопительного котла в котельной торгового центра в Екабпилсе, в результате которого погиб 55-летний работник. На скамью подсудимых отправляют мужчину (1977 г. р.), единственного члена правления фирмы, который был ответственным за соблюдение противопожарных норм в торговом центре «Atpūta». Как выяснилось, в здании самовольно подключили…

Кнопка Телеграм в байках

Kriminal.lv в Телеграме
 

топ 3 под байкой - Криминальный топ 3

Криминальный топ 3

топ 3 под байкой

Рекомендованно для вас

Криминальный топ 3

Криминальный топ 3

Комментарии

Комментарии

Правовая информация


Kriminal.lv является зарегистрированным в Регистре предприятий Латвийской Республики электронным средством массовой информации. Перепубликация материалов возможна только с разрешения редакции kriminal.lv.

 

Настройки согласия / Piekrišanas iestatījumi / Consent settings 

 

 

Privātuma un sīkdatņu politika 

Политика конфиденциальности и использования файлов cookie
Privacy and Cookie Policy