Μια εκμετάλλευση στην αποκεντρωμένη χρηματοδότηση (Defi) το πρωτόκολλο Qubit Finance επέτρεψε σε έναν χάκερ να φύγει με 80 εκατομμύρια δολάρια σε κλεμμένα κρυπτονομίσματα χθες.
Το συγκεκριμένο ελάττωμα έξυπνου συμβολαίου που επέτρεψε την επίθεση εντοπίστηκε στο X-Bridge, μια γέφυρα διασταυρούμενης αλυσίδας που διευκολύνει τις εύκολες εναλλαγές διακριτικών μεταξύ Ethereum και Έξυπνη αλυσίδα Binance.
Αυτό το ελάττωμα επέτρεψε στον εισβολέα να εισάγει κακόβουλα δεδομένα χωρίς να καταθέσει Ethereum και να λάβει σε αντάλλαγμα αξίας 185 εκατομμυρίων δολαρίων σε Qubit xETH (ένα περιουσιακό στοιχείο που αντιπροσωπεύει το γεφυρωμένο Ethereum στην έξυπνη αλυσίδα Binance).
Στη συνέχεια, ο εισβολέας χρησιμοποίησε αυτά τα χρήματα ως εγγύηση για να «δανειστεί» κρυπτονομίσματα αξίας περίπου 80 εκατομμυρίων δολαρίων από διάφορες δεξαμενές δανεισμού.
Η πλήρης κατανομή του περιουσιακά στοιχεία ανέρχεται σε 15,688 WETH (37.6 εκατομμύρια δολάρια), 767 BTC-B (28.5 εκατομμύρια δολάρια), περίπου 9.5 εκατομμύρια δολάρια σε σταθερές κασσίτερες, και 5 εκατομμύρια δολάρια σε μάρκες CAKE, BUNNY και MDX, σύμφωνα με την ελεγκτική εταιρεία CertiK.
Δεδομένου ότι ο εισβολέας δεν μετέτρεψε ποτέ την "ασφάλεια" του qXETH, το συνολικό κόστος της κλοπής στην Qubit Finance είναι 80 εκατομμύρια δολάρια.
Το Qubit προσφέρει crypto bounty
Δημοσιεύτηκε το Qubit Finance ένα blog post σήμερα με ανάλυση play-by-play της επίθεσης στο σύνολό της.
Στη σελίδα του Qubit στο Twitter, η ομάδα έγραψε επίσης στο Twitter ότι «είναι χαρούμενη που έχουμε μια συνομιλία με [τον εισβολέα]». Επισύναψε ένα μήνυμα στιγμιότυπου που έλεγε ότι η Qubit είναι «έτοιμη να προσφέρει [στον εισβολέα] το μέγιστο μπόνους για την αποκαλυπτόμενη εκμετάλλευση» προκειμένου να «ελαχιστοποιήσει το αποτέλεσμα στην κοινότητα».
Οι αναλυτές ασφαλείας του Blockchain Peckshield ανέβασαν στο Twitter το πρωί της Παρασκευής ότι είχε ελέγξει το πρωτόκολλο δανεισμού της Qubit Finance και θα παράσχει περισσότερες λεπτομέρειες σύντομα.
Φαίνεται το QBridge του @QubitFin παραβιάζεται για να κόψει τεράστιο ποσό από την ασφάλεια xETH και να εξαντλήσει τα κεφάλαια του pool περίπου 80 εκατομμύρια $. Λάβετε υπόψη ότι ελέγξαμε τον δανεισμό Qubit, όχι το QBridge! Περισσότερα ακολουθούν…
- PeckShield Inc. (@peckshield) Ιανουάριος 27, 2022
Αν και αυτή η επίθεση ήταν η μεγαλύτερη φέτος, δεν ήταν η πρώτη cross-chain hack το 2022.
Την περασμένη εβδομάδα, ένας χάκερ με λευκό καπέλο έκλεψε 1.73 εκατομμύρια δολάρια από την Multichain πριν επιστρέψει 900,000 δολάρια και τσεπώσει τα υπόλοιπα ως μπόνους.
Καθώς τα διαφορετικά blockchain γίνονται δημοφιλή και η δραστηριότητα cross-chain αυξάνεται παράλληλα, έργα όπως το Qubit και το Multichain αναμένεται να γίνουν βασικοί στόχοι για τους χάκερ.
Πηγή: https://decrypt.co/91447/binance-smart-chain-ethereum-crypto-bridge-hacked-80-million