Хакер вывел 5,9 млн $ из провайдера ликвидности Ethereum TrustedVolumes

TrustedVolumes, Провайдер Ликвидности на блокчейн Ethereum, в четверг потерял около 5,9 млн $ в результате взлома.

Злоумышленнику удалось воспользоваться уязвимостью в пользовательской торговой системе платформы и вывести средства, включая ETH, WBTC, а также стейблкоины USDT и USDC.

Что произошло

По данным блокчейн-компании по безопасности Blockaid, которая зафиксировала эксплойт в момент его совершения, похищенные средства включали 1 291 WETH, около 16,9 WBTC, примерно 206 000 USDT и чуть менее 1,27 млн USDC.

Атака была осуществлена путём злоупотребления конструктивным недостатком в пользовательской системе исполнения ордеров TrustedVolumes, известной как прокси Request for Quote (RFQ).

GoPlus Security опубликовала разбор ситуации, показывающий, что злоумышленник зарегистрировал себя в качестве авторизованного «подписанта ордеров» с помощью функции «registerAllowedOrderSigner()», которая была общедоступна.

Функция позволяет любому пользователю назначить собственный адрес действительным подписантом для контролируемых им сделок, и хотя обычно это было бы достаточно безобидно, функция расчётов имела отдельную проблему: она проверяла авторизацию по одному адресу, тогда как фактически извлекала средства с другого.

Как подробно описано в техническом отчёте, опубликованном исследователем безопасности Defi Nerd, злоумышленник воспользовался этой брешью для выполнения четырёх транзакций по выводу средств против контракта-резолвера TrustedVolumes, который ранее предоставил прокси разрешение на перемещение своих токенов.

По их данным, каждый раз прокси извлекал активы из резолвера и отправлял обратно лишь одну единицу USDC. Затем злоумышленник конвертировал похищенный WETH обратно в ETH и перевёл всё на свой кошелёк.

TrustedVolumes подтвердил эксплойт и публично опубликовал три адреса кошельков с похищенными средствами, попросив хакера выйти на связь по поводу «bug bounty и взаимоприемлемого урегулирования».

1inch дистанцируется от ситуации на фоне продолжающихся взломов DeFi

Поскольку TrustedVolumes функционирует как Провайдер Ликвидности и маркет-мейкер на 1inch, некоторые ранние сообщения представляли инцидент как эксплойт 1inch.

Однако это неточно: и 1inch, и Blockaid выпустили заявления, уточняющие, что сам протокол не был скомпрометирован и средства пользователей на 1inch не пострадали. TrustedVolumes работает независимо на нескольких платформах, а не исключительно на 1inch.

Атака произошла в особенно сложный период для экосистемы DeFi, поскольку последовала за катастрофическим апрелем, когда из различных проектов было похищено криптовалюты на сумму более 650 млн $.

KelpDAO и Drift Protocol пострадали больше всего: у них было изъято 292 млн $ и 285,2 млн $ соответственно.

Таким образом, при ущербе в 5,9 млн $ этот последний эксплойт меньше по масштабу. Однако техническая изощрённость подхода — развёртывание вспомогательного контракта, злоупотребление самостоятельной регистрацией подписантов и эксплуатация несоответствия между мейкером и источником финансирования в рамках одной транзакции — выделяет его в отдельную категорию по сравнению с простой ошибкой или неверной конфигурацией.

The post Hacker Drains $5.9M From Ethereum Liquidity Provider TrustedVolumes appeared first on CryptoPotato.