Хакеры украли 25 млн долларов у биржи Uniswap и платформы Lendf[.]me

pixabay.com

В минувшие выходные злоумышленники атаковали децентрализованную биржу Uniswap и платформу Lendf.me. Хотя расследование случившегося еще далеко от завершения, уже известно, что хакеры похитили примерно 25 млн долларов в криптовалюте, эти два нападения были связаны между собой, и, вероятно, осуществлялись одной и той же группой или человеком.

По словам следователей, для этой атаки злоумышленники объединили уязвимости и различные легитимные возможности блокчейн-технологий, в итоге осуществив сложную reentrancy-атаку (атака повторного входа или рекурсивный вызов). Такие атаки позволяют хакерам выводить средства в цикле, пока их исходная транзакция не будет одобрена или отклонена.

Сообщается, что Uniswap и Lendf.me имели много общего. В частности, обе платформы использовали:

протокол Lendf.me— протокол децентрализованного финансирования (decentralized finance, DeFi), разработанный dForce Foundation для поддержки кредитных операций на платформе Ethereum;
imBTC— токен The Tokenized Bitcoin, который работает на платформе Ethereum и привязан к Bitcoin и его стоимости в соотношении 1:1;
ERC-777— одна из базовых технологий блокчейна Ethereum, предназначенная для поддержки смарт-контрактов (и Lendf.me, и imBTC работают как смарт-контракты на платформе Ethereum).
«Как известно, стандарт ERC-777 не имеет уязвимостей, однако комбинация использования ERC777 и контрактов Uniswap/Lendf.Me делает возможными reentrancy-атаки», — пишут эксперты разработчики Tokenlon, компании, стоящей за разработкой imBTC.

В компании считают, что хакеры использовали публично доступный эксплоит, опубликованный на GitHub в июле 2019 года компанией OpenZeppelin, которая проводит аудит безопасности для криптовалютных платформ - https://github.com/ConsenSys/Uniswap-audit-report-2018-12#31-liquidity-pool-can-be-stolen-in-some-tokens-eg-erc-777-29.

По предварительным оценкам, на данный момент Uniswap лишилась от 300 000 до 1 100 000 долларов США, тогда как у Lendf.me было похищено более 24 500 000 долларов США, то есть практически все активы платформы. Хакеры использовали атаку повторного входа, чтобы перевести средства с каждой платформы на свой кошелек, а затем сразу же вывели украденное на другие счета.

Оба сайта временно не работают для предотвращения дальнейших атак. Разработчики Tokenlon тоже приостановили действие imBTC и блокируют любые новые транзакции, чтобы не позволить хакерам развить активность и атаковать другие платформы.

Источник - xakep.ru

Печать

Оставить комментарий

4 главные под байкой - Читайте также

4 главные под байкой

"Деньги поделили поровну": чем закончилось следствие по взяткам на Центральном рынке

Бюро по предотвращению и борьбе с коррупцией (БПБК, KNAB) передало в прокуратуру уголовное дело двух сотрудников AS Rīgas Centrāltirgus, которые, как считает следствие, получали взятки и "другие незаконные блага". Цель - получение торговых мест в обновленном Овощном павильоне рынка.
Обыски в больницах: при 5 закупках расследуется сговор на €300 000 (дополнено)

Бюро по предотвращению и борьбе с коррупцией (БПБК, KNAB) подтвердило, что во вторник - 3 февраля, проводились обыски в Огрской районной больнице, Лиепайской региональной больнице и еще на ряде объектов. Причина: должностные лица обеих больниц, возможно, договорились как минимум с двумя поставщиками медицинских товаров - тендеры подгонялись под «своих» поставщиков.
Преступные деньги в ABLV Bank: конфискуются 1,5 млн кипрских компаний. И не только (3)

Латвийская прокуратура сообщила о передаче в латвийский бюджет 1 498 266,89 евро со счетов в ABLV Bank двух кипрских компаний - деньги признаны преступно нажитыми по решению Рижского окружного суда. В свою очередь Бюро по предотвращению и борьбе с коррупцией (БПБК, KNAB) чуть раньше сообщило о признании преступно нажитыми 1…
Афера на 700 000 евро: в Риге отправляют под суд владелицу двух аптек (4)

В Риге перед судом предстанет член правления компании, владеющая двумя аптеками, которую обвиняют в присвоении более 719 тысяч евро из государственного бюджета. По версии следствия, женщина годами вводила в систему фиктивные данные о выдаче дорогостоящих компенсируемых медикаментов из списка "М".

Кнопка Телеграм в байках

Kriminal.lv в Телеграме

топ 3 под байкой - Криминальный топ 3

Криминальный топ 3

топ 3 под байкой

"Шпионил за аэродромом "Spilve" для ГРУ": обвиняемого отправили под суд (1)

В Рижский городской суд 4 февраля было передано уголовное дело против гражданина Латвии в связи с незаконным сбором сведений об оборонной отрасли Латвии по заданию Главного разведывательного управления (ГРУ) России, - сообщила прокуратура. Шпионаж в пользу России был мотивирован идеологически.
"Файлы Эпштейна": в Латвии начато дело о вербовке девушек. Материалы уже удаляют (6)

4 февраля Госполиция Латвии по согласованию с прокуратурой начала уголовный процесс "в связи с опубликованными на официальном сайте Федерального бюро расследований США (ФБР, FBI) новыми материалами по делу Эпштейна". В них Латвия фигурирует как одна из стран вербовки несовершеннолетних девушек для сексуальной эксплуатации.
Пьяная поездка в Риге по Мукусалас закончилась конфискацией «Lexus»

Водитель, задержанный за рулем в состоянии сильного алкогольного опьянения - под 1,91 промилле, получил год надзора и остался без автомобиля и прав на 5 лет.