Министерство юстиции США только что опубликовало подробности атаки на KyberSwap — платформу децентрализованного финансирования (DeFi) проекта Kyber Network, разработанную вьетнамцами. Соответственно, гражданин Канады Андеан Меджедович (22 года) обвиняется в причастности к взлому, произошедшему в конце 2023 года, в результате которого пользователи KyberSwap потеряли 48,4 млн долларов США.
Как хакеры атакуют
KyberSwap позволяет пользователям обменивать криптовалюты, одновременно собирая их в пулы ликвидности. Это позволяет системе иметь пул токенов, доступных для обмена в любое время. Воспользовавшись уязвимостью смарт-контракта KyberSwap, хакеры временно заняли крупные суммы капитала с помощью инструментов «мгновенного кредитования» и поместили эти деньги в пулы ликвидности.
Затем он манипулировал ценами, совершая тщательно рассчитанные сделки, чтобы обмануть систему, заставляя программное обеспечение ошибаться в расчетах и позволяя хакеру вывести больше активов, чем он внес.
Эксплойт KyberSwap обошелся пользователям в 48,4 миллиона долларов
В обвинительном заключении Министерство юстиции описывает уязвимость как «ошибку округления» на этапах расчетов. Например, лимит обмена токенов составляет 1 056 056 735 638 220 800 000, хакер разместил заказ на 1 056 056 735 638 220 799 999 (всего на 1 единицу меньше) — все еще в пределах лимита, но правило округления не позволило его уложиться в некоторые функции, что приводит к уязвимостям, которые можно эксплуатировать.
Меджодович совершил 77 таких транзакций, изъяв из кошельков пользователей в общей сложности 48,4 млн долларов. Затем Медедович прибегал к различным уловкам, чтобы стереть следы, например, переводил деньги на разные биржи или помещал их в миксер токенов.
Помимо обвинений в незаконном проникновении на чужую территорию, Медедович также обвиняется в вымогательстве путем отправки сообщений с требованием от Kyber Network предоставить ему частичный контроль над компанией в обмен на возврат части украденных активов. 22-летний хакер также был уверен, что ему удалось обмануть следователей. Однако, столкнувшись с проблемами в работе инструмента удаления следов, Меджодович обратился за помощью к «разработчику программного обеспечения», не ожидая, что этот человек окажется тайным агентом.
Ответ KyberSwap
По словам генерального директора Kyber Network Чана Хуй Ву, хотя компания еще не восстановила все утраченные активы, она активно вернула их пользователям. Серьезный инцидент вынудил Kyber Network провести реструктуризацию в конце 2023 года, сократив 50% персонала и временно закрыв функцию KyberSwap Elastic.
Министерство юстиции США назвало это изощренной кражей, которая использовала лазейку в смарт-контракте DeFi. Наблюдатели говорят, что этот инцидент является напоминанием для всех проектов DeFi о необходимости постоянно проверять уязвимости, проявлять осторожность при работе со сложными торговыми ордерами и иметь план реагирования на риски. Поскольку DeFi становится все более популярным, атака Меджодовича показывает, как хакеры могут находить и использовать даже самые незначительные недостатки в вычислительной логике.
«Даже несмотря на сложность DeFi, нам удалось выследить человека, ответственного за масштабную кражу, и арестовать его», — подтвердил представитель Министерства юстиции США. Инцидент рассматривается как доказательство того, что, хотя злоумышленник и скрывается за многочисленными уловками, у властей все равно есть возможность найти преступника и привлечь его к ответственности перед законом.
Источник: https://thanhnien.vn/tin-tac-canada-chiem-doat-hon-48-trieu-usd-tu-du-an-kyberswap-cua-nguoi-viet-185250205084915802.htm
Comment (0)