Furto di 6,7 Milioni di Dollari da TrustedVolumes
Un hacker ha iniziato a ripulire asset digitali che facevano parte del furto di 6,7 milioni di dollari dal fornitore di liquidità TrustedVolumes, secondo quanto riportato dalla società di cybersecurity PeckShield.
Movimenti dell’Hacker
Nuovi dati mostrano che l’hacker ha cominciato a muovere centinaia di migliaia di dollari in Ethereum (ETH). “L’exploiter di TrustedVolumes ha già ripulito 278.000 dollari di fondi rubati: ha depositato 10,2 ETH (23.600 dollari) su TornadoCash e ha ripulito 110 ETH (250.000 dollari) tramite THORChain a BTC; ha anche tentato di depositare 0,5 ETH su Railgun, ma ha cambiato idea e lo ha restituito. TrustedVolumes è stato sfruttato per circa 6,7 milioni di dollari il 7 maggio.”
Posizione di TrustedVolumes
TrustedVolumes ha dichiarato di essere disposto a negoziare una risoluzione con l’hacker. La società ha anche elencato tre indirizzi di wallet, due dei quali detengono circa 3 milioni di dollari e uno 700.000 dollari in criptovalute rubate. “Siamo stati recentemente sfruttati… Siamo aperti a comunicazioni costruttive riguardo a un bug bounty e a una risoluzione reciprocamente accettabile.”
Dettagli Tecnici dell’Attacco
La società di sicurezza blockchain QuillAudits ha affermato che l’hacker è riuscito a drenare milioni in una singola transazione sfruttando un difetto di design nel sistema di regolamento degli ordini personalizzato della piattaforma. “TrustedVolumes opera come un market maker e risolutore per 1inch, fornendo liquidità on-chain attraverso un proxy di Richiesta di Preventivo (RFQ) personalizzato… In un modello RFQ, un maker pre-firma gli ordini, quotando un prezzo specifico per una coppia di token specifica. Un taker presenta quella quotazione firmata al contratto di regolamento, che verifica la firma ed esegue lo scambio in modo atomico.”
Il sistema si basa su tre garanzie che lavorano in concerto: il maker deve aver autorizzato chi può firmare ordini a suo nome, ogni ordine firmato deve essere eseguito solo una volta (protezione da replay) e la fonte del token per l’esecuzione deve essere l’inventario autenticato del maker, non un indirizzo di terzi arbitrario. Nell’implementazione di TrustedVolumes, tutte e tre le garanzie sono fallite simultaneamente, e l’attaccante le ha sfruttate in una singola transazione composta.”
