Кража цифровых активов у TrustedVolumes
Хакер начал отмывать цифровые активы, ставшие частью кражи на сумму $6,7 миллиона у ликвидного провайдера TrustedVolumes, сообщает компания по кибербезопасности PeckShield. Согласно новым данным, хакер начал перемещать активы на сотни тысяч долларов в Ethereum (ETH).
«Эксплуататор TrustedVolumes отмыл $278,000 из украденных средств на данный момент: он внес 10,2 ETH ($23,600) в TornadoCash и отмыл 110 ETH ($250,000) через THORChain в BTC. Также он попытался внести 0,5 ETH в Railgun, но передумал и отправил его обратно. TrustedVolumes был эксплуатирован на сумму около $6,7 миллиона 7 мая.»
Переговоры с хакером
TrustedVolumes заявляет, что готов вести переговоры с хакером для разрешения ситуации. Компания также перечисляет три адреса кошельков, два из которых содержат примерно $3 миллиона, а один — $700,000 в украденных криптоактивах.
«Мы недавно подверглись атаке… Мы открыты для конструктивного общения по поводу вознаграждения за обнаружение уязвимости и взаимоприемлемого разрешения.»
Уязвимость системы TrustedVolumes
Компания по безопасности блокчейна QuillAudits сообщает, что хакер смог вывести миллионы за одну транзакцию, воспользовавшись недостатком в дизайне системы кастомного урегулирования заказов платформы.
«TrustedVolumes работает как маркет-мейкер и разрешитель 1inch, предоставляя ликвидность в цепочке через кастомный прокси Запроса на Цену (RFQ). В модели RFQ маркет-мейкер предварительно подписывает заказы, указывая конкретную цену для конкретной пары токенов. Тейкер представляет эту подписанную цену контракту на урегулирование, который проверяет подпись и выполняет обмен атомарно. Система полагается на три гарантии, работающие в согласии: маркет-мейкер должен авторизовать тех, кто может подписывать заказы от его имени, каждый подписанный заказ должен быть выполнен только один раз (защита от повторного использования), и источник токена для выполнения должен быть из аутентичного запаса маркет-мейкера, а не произвольного адреса третьей стороны. В реализации TrustedVolumes все три гарантии одновременно потерпели неудачу, и злоумышленник использовал это в одной составной транзакции.»
