Министерство юстиции США (DOJ) только что опубликовало подробности атаки на KyberSwap — платформу децентрализованного финансирования (DeFi) проекта Kyber Network, разработанного вьетнамцами. Соответственно, гражданин Канады Андеан Меджедович (22 года) обвиняется в причастности к взлому, произошедшему в конце 2023 года, в результате которого пользователи KyberSwap потеряли 48,4 млн долларов США.
Как хакеры атакуют
KyberSwap позволяет пользователям обменивать криптовалюты, одновременно собирая их в «пулы ликвидности». Это позволяет системе иметь пул токенов, доступных для обмена в любое время. Используя уязвимость в смарт-контракте KyberSwap, хакер временно занял большие суммы денег с помощью «мгновенных займов» и поместил их в пулы ликвидности.
Затем он манипулировал ценами, совершая тщательно рассчитанные сделки, чтобы обмануть систему, заставляя программное обеспечение ошибаться в расчетах и позволяя хакеру вывести больше активов, чем он внес.
Эксплойт KyberSwap обошелся пользователям в 48,4 миллиона долларов
В обвинительном заключении Министерство юстиции описывает это как уязвимость, связанную с «ошибкой округления» на этапах расчета. Например, количество обмениваемых токенов было ограничено 1 056 056 735 638 220 800 000, но хакер разместил заказ на 1 056 056 735 638 220 799 999 (всего на 1 единицу меньше) — все еще в пределах лимита, но правило округления привело к тому, что некоторые функции работали некорректно, как задумано, тем самым создавая уязвимость, которую можно было эксплуатировать.
Меджодович совершил 77 таких транзакций, забрав из кошельков пользователей в общей сложности $48,4 млн. Затем Меджодович прибегал к различным уловкам, чтобы скрыть свои следы, например, переводя средства на разные биржи или помещая их в миксер токенов.
Помимо обвинений в преступном вторжении, Меджедович также обвиняется в вымогательстве после отправки сообщений с требованием от Kyber Network предоставить ему частичный контроль над компанией в обмен на возврат некоторых украденных активов. 22-летний хакер также был уверен, что успешно обманул следователей. Однако, когда у него возникли проблемы с его инструментом для стирания, Меджедович обратился за помощью к «разработчику программного обеспечения», не зная, что тот был тайным агентом.
Ответ KyberSwap
По словам генерального директора Kyber Network Чана Хуй Ву, хотя компания еще не восстановила все утраченные активы, она активно вернула их пользователям. Серьезный инцидент заставил Kyber Network провести реструктуризацию в конце 2023 года, сократив 50% персонала и временно закрыв функцию KyberSwap Elastic.
Министерство юстиции назвало это сложной кражей, которая использовала уязвимость в смарт-контракте DeFi. Наблюдатели заявили, что инцидент является напоминанием для всех проектов DeFi о необходимости постоянной проверки уязвимостей, осторожности со сложными транзакционными заказами и наличия плана реагирования на риски. Поскольку DeFi становится все более популярным, атака Меджедовича показывает, что хакеры могут находить и использовать даже самые незначительные ошибки в вычислительной логике.
«Даже с учетом сложности DeFi мы смогли выследить человека, ответственного за масштабную кражу, и арестовать его», — подтвердил представитель Министерства юстиции США. Это дело рассматривается как доказательство того, что, несмотря на многочисленные шаги, предпринимаемые злоумышленником для сокрытия себя, у властей все еще есть способ выследить преступника и привлечь его к ответственности перед законом.
Источник: https://thanhnien.vn/tin-tac-canada-chiem-doat-hon-48-trieu-usd-tu-du-an-kyberswap-cua-nguoi-viet-185250205084915802.htm
Комментарий (0)