Хакеры украли 25 млн долларов у биржи Uniswap и платформы Lendf[.]me

pixabay.com

В минувшие выходные злоумышленники атаковали децентрализованную биржу Uniswap и платформу Lendf.me. Хотя расследование случившегося еще далеко от завершения, уже известно, что хакеры похитили примерно 25 млн долларов в криптовалюте, эти два нападения были связаны между собой, и, вероятно, осуществлялись одной и той же группой или человеком.

По словам следователей, для этой атаки злоумышленники объединили уязвимости и различные легитимные возможности блокчейн-технологий, в итоге осуществив сложную reentrancy-атаку (атака повторного входа или рекурсивный вызов). Такие атаки позволяют хакерам выводить средства в цикле, пока их исходная транзакция не будет одобрена или отклонена.

Сообщается, что Uniswap и Lendf.me имели много общего. В частности, обе платформы использовали:

протокол Lendf.me— протокол децентрализованного финансирования (decentralized finance, DeFi), разработанный dForce Foundation для поддержки кредитных операций на платформе Ethereum;
imBTC— токен The Tokenized Bitcoin, который работает на платформе Ethereum и привязан к Bitcoin и его стоимости в соотношении 1:1;
ERC-777— одна из базовых технологий блокчейна Ethereum, предназначенная для поддержки смарт-контрактов (и Lendf.me, и imBTC работают как смарт-контракты на платформе Ethereum).
«Как известно, стандарт ERC-777 не имеет уязвимостей, однако комбинация использования ERC777 и контрактов Uniswap/Lendf.Me делает возможными reentrancy-атаки», — пишут эксперты разработчики Tokenlon, компании, стоящей за разработкой imBTC.

В компании считают, что хакеры использовали публично доступный эксплоит, опубликованный на GitHub в июле 2019 года компанией OpenZeppelin, которая проводит аудит безопасности для криптовалютных платформ - https://github.com/ConsenSys/Uniswap-audit-report-2018-12#31-liquidity-pool-can-be-stolen-in-some-tokens-eg-erc-777-29.

По предварительным оценкам, на данный момент Uniswap лишилась от 300 000 до 1 100 000 долларов США, тогда как у Lendf.me было похищено более 24 500 000 долларов США, то есть практически все активы платформы. Хакеры использовали атаку повторного входа, чтобы перевести средства с каждой платформы на свой кошелек, а затем сразу же вывели украденное на другие счета.

Оба сайта временно не работают для предотвращения дальнейших атак. Разработчики Tokenlon тоже приостановили действие imBTC и блокируют любые новые транзакции, чтобы не позволить хакерам развить активность и атаковать другие платформы.

Источник - xakep.ru

Печать

Оставить комментарий

4 главные под байкой - Читайте также

4 главные под байкой

Итоги задержания наркодилеров: нашли вещества на 500 000, 30 000 наличными и 13 машин (фото) (20)

Госполиция обнаружила у крупнейшей из задержанных в этом году групп наркодилеров вещества на сумму около полумиллиона евро, сообщает структура. Кроме этого, изъято 30 тысяч евро наличных и 13 машин, в том числе транспортные средства класса люкс.
Топливная мафия в Испании: задержано 18 человек, латвийцы в том числе (2)

В ходе совместной операции Гражданской гвардии Испании и Службы таможенного надзора Налогового управления Испании на прошлой неделе была ликвидирована преступная организация, которая в последние годы тайно импортировала из стран Восточной Европы не менее 1,7 миллиона литров "левого" топлива, сообщает Министерство внутренних дел Испании. В группе подозреваемых - граждане Украины, Латвии,…
Сутенерство: как зарабатывают на "массажных салонах" (дополнено) (15)

Судебный портал приводит примеры дел по сутенерству. Судебные решения показывают, что в большинстве случаев предоставление интимных услуг замаскировано под вывеской «массажный салон».
Махинации на 5 млн: заключена сделка с прокурором (2)

Это первое уголовное дело, в котором в качестве потерпевших фигурируют несколько государств-членов Европейского союза, которое будет рассматриваться в латвийском суде. В судебном процессе в Латвии также примут участие налоговые администрации Австрии, Германии и Франции, - сообщает латвийская служба Госдоходов (СГД).

Кнопка Телеграм в байках

Kriminal.lv в Телеграме

топ 3 под байкой - Криминальный топ 3

Криминальный топ 3

топ 3 под байкой

Попались 2 крупных наркодилера: принимали заказы через Telegram-ботов (дополнено, фото) (2)

Этой осенью Государственная полиция Риги задержала нескольких лиц, занимавшихся торговлей наркотиками через мессенджер Telegram. Один из задержанных использовал в своей преступной деятельности ботов (программы) для автоматического обеспечения наркоторговли. В рамках другого уголовного процесса полиция задержала изготовителя тайников с наркотиками, также связанного с Telegram-каналом. У него было обнаружено большое количество практически…
Задержание дилера: изъято наркотиков на 30 млн, драгоценности, оружие (фото) (2)

Налогово-таможенная полиция Службы госдоходов (СГД) рассказывает об итогах крупного дела по наркотикам. При обыске у подозреваемого в марте были найдены сотни килограммов различных запрещенных веществ, подозреваемый в их хранении и сбыте был задержан.
Контрабанда: сигареты нашли в тайниках с луком (фото) (2)

Латвийские таможенники обнаружили 3 635 120 сигарет контрабандных сигарет в коробках с луком. Нелегальный груз был обнаружен в 2 грузовиках при таможенном контроле на границе Латвии с Россией.