Η αποκεντρωμένη εφαρμογή FixedFloat υφίσταται χακάρισμα 26 εκατομμυρίων δολαρίων

Πριν από λίγες ημέρες, η αποκεντρωμένη μη KYC εφαρμογή FixedFloat υπέστη επίθεση με hack στην υποδομή της, με αποτέλεσμα ζημιές 26 εκατομμυρίων δολαρίων.

Σύμφωνα με την εταιρεία ελέγχου και ανάλυσης blockchain PeckShield, κλάπηκαν συνολικά 1728 ETH και 409 BTC: μερικά από τα χρήματα στη συνέχεια ξεπλύθηκαν περνώντας από αποκεντρωμένους μίκτες και συναλλαγές coinjoin.

Το FixedFloat έχει δηλώσει ότι τα χρήματα των χρηστών είναι ασφαλή και ότι η εισβολή δεν έθετε σε κίνδυνο την οικονομική σταθερότητα της εφαρμογής ανταλλαγής κρυπτογράφησης.

Όλες οι λεπτομέρειες παρακάτω.

Ευπάθεια στη δομή του FixedFloat: η αποκεντρωμένη εφαρμογή υφίσταται χακάρισμα 26 εκατομμυρίων δολαρίων σε BTC και ETH

Το Σάββατο 17 Φεβρουαρίου, η εφαρμογή αποκεντρωμένης ανταλλαγής κρυπτονομισμάτων FixedFloat έπεσε θύμα χακαρίσματος που προκάλεσε απώλειες 26 εκατομμυρίων δολαρίων σε BTC και ETH.

Όλα ξεκίνησαν όταν αρκετοί χρήστες ανέφεραν ότι αντιμετώπισαν παγωμένες συναλλαγές και λείπουν χρήματα στους λογαριασμούς τους. λίγο μετά, ανακαλύφθηκε μέσω ανάλυσης on-chain ότι αρκετά εκατομμύρια δολάρια είχαν στραγγιστεί σε διάφορα μη αναγνωρισμένα εξωτερικά πορτοφόλια.

Αν και δεν είναι ακόμη σαφές πώς συνέβη η επίθεση, η ομάδα του FixedFloat εξήγησε αμέσως ότι ήταν ένα "μικρό τεχνικό θέμα» τη στιγμή του συμβάντος.

Η ίδια έχει ανακοινώσει ότι τα χρήματα θα επιστραφούν στους χρήστες της πλατφόρμας και ότι το hack δεν έθεσε σε κίνδυνο την οικονομική σταθερότητα της εταιρείας.

Τέλος πάντων, τη στιγμή που γράφουμε το άρθρο η αποκεντρωμένη εφαρμογή παραμένει ανενεργή και σε λειτουργία συντήρησης, αλλά θα ανοίξει ξανά σε απροσδιόριστο μέλλον, μόλις βεβαιωθεί ότι θα είναι ασφαλές για χρήση.

Εδώ είναι τι αναφέρθηκε στο X από το Fixed FixedFloat μετά το hack:

Το αποκεντρωμένο χρηματιστήριο είναι γνωστό για τις υπηρεσίες του που δεν είναι KYC, οι οποίες δεν απαιτούν εγγραφή σύμφωνα με την κλασική διαδικασία «Γνωρίστε τον Πελάτη σας», επιτρέποντας ένα ανταγωνιστικό πλεονέκτημα όσον αφορά το απόρρητο.

Προσφέροντας τη δυνατότητα να παραμείνει ανώνυμη και επιτρέποντας συναλλαγές σε Bitcoin μέσω του Lightning Network στους πελάτες της, η FixedFloat έχει προσελκύσει ένα ευρύ φάσμα χρηστών από τις Ηνωμένες Πολιτείες.

Εν μέρει, το χαρακτηριστικό της ανωνυμίας και η έλλειψη εσωτερικών ελέγχων ευνόησαν την κακόβουλη επίθεση χάκερ, ο οποίος δεν χρειαζόταν να παράσχει τα προσωπικά του δεδομένα για πρόσβαση στην εφαρμογή.

Σύμφωνα με την εταιρεία ανάλυσης κυβερνοασφάλειας και blockchain PeckShield, η κλοπή ανέρχεται ακριβώς σε 1728 ETH, αξίας 4.85 εκατομμυρίων δολαρίων και 409 BTC, αξίας σχεδόν 21 εκατομμυρίων δολαρίων.

Το μεγαλύτερο μέρος του αιθέρα από το hack έχει ήδη μεταφερθεί σε ένα ευρύ φάσμα αποκεντρωμένων ανταλλαγών στο blockchain Ethereum.

Η FixedFloat ανέφερε ότι συνεργάζεται με τις αρχές επιβολής του νόμου, τις εγκληματολογικές εταιρείες blockchain και τα ανταλλακτήρια κρυπτονομισμάτων για να εντοπίσουν τους χάκερ, οι οποίοι δεν έχουν επικοινωνήσει ακόμη με το ανταλλακτήριο. 

Η εταιρεία έχει δηλώσει ότι θα τηρήσει όλες τις υποχρεώσεις πληρωμής της μόλις ξαναρχίσει τη λειτουργία του και είναι βέβαιο ότι η ανταλλαγή θα είναι ασφαλής για χρήση ξανά.

Μέρος του κλεμμένου BTC από το hack ανακυκλώθηκε μέσω μιας επιχείρησης coinjoin

Ενώ το ETH που κλάπηκε από το χακάρισμα της αποκεντρωμένης εφαρμογής FixedFloat μεταφέρθηκε εύκολα σε δεκάδες διαφορετικές διευθύνσεις και κυκλοφόρησε μέσω του blockchain Ethereum, τα BTC που αποτελούν μέρος της ίδιας κλοπής πρόκειται να ανακυκλωθούν με συναλλαγές coinjoin.

Υπενθυμίζουμε ότι το coinjoin είναι ένας τύπος λειτουργίας Bitcoin, που θεωρητικοποιήθηκε για πρώτη φορά από τον Gregory Maxwell το 2013, στο οποίο πολλές πληρωμές BTC συνδυάζονται σε μια ενιαία συναλλαγή, καθιστώντας δύσκολο τον προσδιορισμό ποιες διευθύνσεις έχουν ξοδέψει ποιο ποσό.

Παρόμοια με ό,τι συμβαίνει με τους αποκεντρωμένους μίκτες όπως το Tornado Cash, οι συναλλαγές coinjoin συνδυάζονται για να πραγματοποιήσουν μια ενιαία συναλλαγή σε μια κοινή ομάδα, από την οποία οι καταθέτες μπορούν στη συνέχεια να ζητήσουν πίσω τους «συγκεντρωμένα» και ανώνυμα κεφάλαια.

Στην περίπτωσή μας, ο χάκερ εκμεταλλεύτηκε ένα είδος μίκτη που χρησιμοποιεί μια μέθοδο για να αυξήσει το απόρρητο παρόμοια με το coinjoin, όπου έχουν ήδη ανταλλαγεί πολλά BTC.

Συγκεκριμένα, μπορούμε να επιβεβαιώσουμε ότι σύμφωνα με όσα εξηγήθηκαν από έναν ερευνητή web3 στο X, μέρος των κλεμμένων κεφαλαίων, για την ακρίβεια 2.7544 BTC, έχουν εισρεύσει στη διεύθυνση

34F2Jjmzo4N3kz3zVVBbqr3nn6NkvQvNjA, που ανήκει στο CEX TradeOgre.

Αυτά τα χρήματα θα μπορούσαν να αντιπροσωπεύουν την προμήθεια που πλήρωσε ο κακόβουλος παράγοντας για να χρησιμοποιήσει το μίξερ, το οποίο φαίνεται να συνδεθεί με την εφαρμογή Whirpool που εφαρμόζει ένα προηγμένο σύστημα απορρήτου.

Πιστεύεται ότι 166 από τα 409 BTC που έχουν κλαπεί από την αποκεντρωμένη εφαρμογή FixedFloat έχουν ήδη περάσει από το μίκτη Whirpool.

Περιστατικά όπως αυτό είναι συνηθισμένα σε κρυπτογραφικά περιβάλλοντα, ειδικά σε περιβάλλοντα που δεν ανήκουν στο KYC που προστατεύουν κατά κάποιο τρόπο την ανωνυμία των χάκερ.

Σύμφωνα με την on-chain ιατροδικαστική εταιρεία ερευνών Chainalysis, παρά τα πολυάριθμα περιστατικά που καταγράφηκαν το 2023 Τα hacks και τα exploits μειώνονται σε σύγκριση με το προηγούμενο έτος, όταν σημειώθηκε έκρηξη στις κλοπές.

Συνολικά, η αξία των χακαρισμένων κεφαλαίων έχει μειωθεί κατά περίπου 54.3% σε σύγκριση με το 2022 με ένα συνολικό κλεμμένο ποσό περίπου 1.7 δισεκατομμυρίων δολαρίων, που προέρχεται κυρίως από hacks εφαρμογών DeFi.