Introduzione all’Exploit di Voltage Finance
Un hacker coinvolto nell’exploit da 4,67 milioni di dollari del protocollo di prestito DeFi Voltage Finance nel 2022 ha trasferito parte dell’Ether rubato a Tornado Cash dopo un breve periodo di inattività.
Dettagli dell’Attacco
La società di sicurezza blockchain CertiK ha dichiarato in un post del 6 maggio su X che i 100 Ether, del valore attuale di 182.783 dollari, sono stati trasferiti da un indirizzo diverso originariamente utilizzato nell’exploit, ma possono essere tracciati fino all’hacker.
Nel marzo 2022, l’exploitatore ha sfruttato una “funzione di callback incorporata” nello standard del token ERC677, permettendo di drenare il pool di prestiti della piattaforma tramite un attacco di ri-entrata, secondo quanto riportato da CertiK.
Le Conseguenze dell’Exploitatore
Dopo l’exploit, Voltage Finance ha comunicato che l’hacker aveva rubato vari stablecoin e altre criptovalute, tra cui USDC, Binance USD (BUSD), Bitcoin incapsulato e token Ethereum. L’indirizzo utilizzato dall’hacker per trasferire i fondi a Tornado Cash era inattivo da novembre, con l’ultima transazione avvenuta 166 giorni fa, secondo i dati di Etherscan.
“L’indirizzo dell’attaccante è stato segnalato su Etherscan e sono state richieste alle borse di bloccare eventuali transazioni.”
Voltage Finance ha tentato di contattare l’attaccante e negoziare una ricompensa per il ritorno dei fondi. Tuttavia, il protocollo è stato colpito nuovamente da un altro exploit il 18 marzo, quando le sue piscine di Simple Staking sono state compromesse, portando a perdite di 322.000 dollari.
Risposte a Relativi Incidenti di Sicurezza
Nel suo report del 20 marzo, Voltage Finance ha proposto all’attaccante una ricompensa di 50.000 dollari per restituire i fondi e aveva probabilmente identificato uno sviluppatore coinvolto nelle piscine di Simple Staking.
“Sebbene non abbiamo confermato se si tratti dell’hacker, per precauzione abbiamo revocato immediatamente il suo accesso e presentato rapporti alla polizia per collaborare con le forze dell’ordine e gli scambi centralizzati.”
Statistiche sulle Perdite nel Settore delle Criptovalute
Le perdite complessive nel settore delle criptovalute sono aumentate del 1.163% ad aprile, principalmente a causa di un singolo furto di un portafoglio appartenente a un anziano degli Stati Uniti, dopo che un hacker ha utilizzato tattiche avanzate di ingegneria sociale per rubare 3.520 Bitcoin, del valore di 330,7 milioni di dollari.
Escludendo quell’attacco, le perdite nel settore delle criptovalute di aprile sono state di 34 milioni di dollari, un aumento del 21% rispetto a marzo. Tuttavia, il mese ha visto anche oltre 18 milioni di dollari restituiti quando l’hacker dietro l’exploit da 7,5 milioni di dollari della borsa decentralizzata KiloEx ha restituito tutti i fondi rubati solo quattro giorni dopo l’attacco.
L’Associazione ZKsync ha inoltre recuperato token rubati per un valore di 5 milioni di dollari in seguito a un incidente di sicurezza del 15 aprile che ha coinvolto il contratto di distribuzione del suo airdrop.
