Detsentraliseeritud rakendus FixedFloat kannatab 26 miljoni dollari suuruse häkkimise all

Mõni päev tagasi tabas detsentraliseeritud mitte-KYC-rakendus FixedFloat oma infrastruktuuri häkkimise rünnaku, mille tulemuseks oli 26 miljoni dollari suurune kahju.

Auditeerimis- ja plokiahela analüüsifirma PeckShield andmetel varastati kokku 1728 ETH-d ja 409 BTC-d: osa rahast pesti seejärel detsentraliseeritud mikserite ja coinjoin-tehingute kaudu.

FixedFloat on teatanud, et kasutajate raha on ohutu ja häkkimine ei kahjustanud krüptovahetusrakenduse finantsstabiilsust.

Kõik üksikasjad allpool.

Haavatavus FixedFloati struktuuris: detsentraliseeritud rakendus kannatab 26 miljoni dollari suuruse häkkimise all BTC-s ja ETH-s

Laupäeval, 17. veebruaril langes detsentraliseeritud krüptovaluutavahetusrakendus FixedFloat häkkimise ohvriks, mis põhjustas kahju 26 miljonit dollarit BTC ja ETH osas.

Kõik sai alguse sellest, et mitmed kasutajad teatasid külmutatud tehingutest ja kontodelt raha puudumisest; varsti pärast seda avastati ahelasisese analüüsi abil, et mitu miljonit dollarit oli voolanud erinevatesse tundmatutesse välisrahakottidesse.

Kuigi pole veel selge, kuidas rünnak aset leidis, selgitas FixedFloati meeskond kohe, et see oli "väike tehniline probleem" intsidendi ajal.

Sama on teatanud, et raha makstakse platvormi kasutajatele tagasi ja häkkimine ei kahjustanud ettevõtte finantsstabiilsust.

Igatahes artikli kirjutamise ajal detsentraliseeritud rakendus jääb passiivseks ja hooldusrežiimis, kuid see avatakse uuesti määramata tulevikus, niipea kui selle kasutamine on kindlasti ohutu.

Fixed FixedFloat teatas pärast häkkimist X kohta:

Detsentraliseeritud börs on tuntud oma KYC-väliste teenuste poolest, mis ei nõua registreerimist klassikalise "Tunne oma klienti" protseduuri kohaselt, mis võimaldab konkurentsieelist privaatsuse osas.

Pakkudes oma klientidele anonüümseks jäämise võimalust ja lubades Bitcoini tehinguid Lightning Networki kaudu, on FixedFloat meelitanud USA-st palju kasutajaid.

Osaliselt soosisid anonüümsus ja sisekontrolli puudumine pahatahtlikku häkkerirünnakut, kes ei pidanud rakendusele juurdepääsuks oma isikuandmeid esitama.

Küberturvalisuse ja plokiahela analüüsifirma PeckShield andmetel, on vargus täpselt 1728 ETH väärtuses 4.85 miljonit dollarit ja 409 BTC, mille väärtus on peaaegu 21 miljonit dollarit.

Suurem osa häkkimise eetrist on juba üle kantud Ethereumi plokiahela laiale hulgale detsentraliseeritud vahetustele.

FixedFloat on teatanud, et nad teevad häkkerite jälitamiseks koostööd õiguskaitseorganite, plokiahela kohtuekspertiisi ettevõtete ja krüptovaluutade börsidega, kes pole veel börsiga ühendust võtnud. 

Ettevõte on teatanud, et täidab kõik oma maksekohustused niipea, kui see jätkab tööd ja on kindel, et vahetust saab uuesti kasutada.

Osa häkkimise käigus varastatud BTC-st taaskasutati coinjoin-operatsiooni kaudu

Kuigi detsentraliseeritud rakenduse FixedFloat häkkimisest varastatud ETH-d on hõlpsasti teisaldatud kümnetele erinevatele aadressidele ja levitatud Ethereumi plokiahela kaudu, BTC-d, mis on osa samast rüüst, hakatakse taaskasutama coinjoin tehingutega.

Tuletame meelde, et coinjoin on teatud tüüpi Bitcoini toiming, mille teoretiseeris esimest korda Gregory Maxwell 2013. aastal ja mille käigus mitu BTC makset ühendatakse üheks tehinguks, mistõttu on raske kindlaks teha, millised aadressid on millise summa kulutanud.

Sarnaselt sellega, mis juhtub detsentraliseeritud segistitega, nagu Tornado Cash, kombineeritakse coinjoin tehingud üheks tehinguks ühises kogumis, kust hoiustajad saavad seejärel oma tagasi nõuda. "ühendatud" ja anonüümsed fondid.

Meie puhul kasutas häkker omamoodi mikserit, mis kasutab privaatsuse suurendamiseks meetodit, mis sarnaneb coinjoiniga, kus on juba mitu BTC-d vahetatud.

Eelkõige võime kinnitada, et vastavalt sellele, mida uurija web3 selgitas X-i kohta, on osa varastatud vahenditest, täpsemalt 2.7544 BTC, voolanud aadressile.

34F2Jjmzo4N3kz3zVVBbqr3nn6NkvQvNjA, mis kuulub CEX TradeOgresse.

See raha võiks esindada vahendustasu, mille pahatahtlik näitleja mikseri kasutamise eest maksab, mis tundub lingitud Whirpooli rakendusega, mis rakendab täiustatud privaatsussüsteemi.

Arvatakse, et 166 409-st detsentraliseeritud rakendusest FixedFloat varastatud BTC-st on Whirpooli mikserist juba läbi käinud.

Sellised juhtumid on krüptograafilistes keskkondades tavalised, eriti mitte-KYC keskkonnas, mis mingil moel kaitsevad häkkerite anonüümsust.

Ketisisese kohtuekspertiisi uuringufirma Chainalysis andmetel hoolimata 2023. aastal registreeritud arvukatest intsidentidest häkkimine ja ärakasutamine väheneb võrreldes eelmise aastaga, kui oli varguste buum.

Üldiselt on häkitud fondide väärtus võrreldes 54.3. aastaga vähenenud ligikaudu 2022% ja varastatud kogusumma on ligikaudu 1.7 miljardit dollarit, mis tulenes peamiselt DeFi rakenduste häkkimisest.