ניצול במימון מבוזר (DeFiפרוטוקול Qubit Finance אפשר להאקר אחד לצאת עם 80 מיליון דולר בקריפטו גנוב אתמול.
פגם החוזה החכם הספציפי שאיפשר את המתקפה נמצא ב-X-Bridge, גשר צולב שרשרת המאפשר החלפת אסימונים קלה בין Ethereum ו שרשרת חכמה של Binance.
פגם זה אפשר לתוקף להזין נתונים זדוניים מבלי להפקיד את Ethereum ולקבל בתמורה 185 מיליון דולר ב-Qubit xETH (נכס המייצג את Ethereum מגושר בשרשרת החכמה Binance).
לאחר מכן, התוקף השתמש בכסף זה כבטוחה כדי "ללוות" קריפטו בשווי 80 מיליון דולר ממאגרי הלוואות שונים.
הפירוט המלא של נכסים מופקעים מסתכם ב-15,688 wETH (37.6 מיליון דולר), 767 BTC-B (28.5 מיליון דולר), כ-9.5 מיליון דולר ב stablecoins, ו-5 מיליון דולר באסימוני CAKE, BUNNY ו-MDX, לפי חברת הביקורת CertiK.
מכיוון שהתוקף מעולם לא המיר את ה"בטחונות" שלהם ב-qXETH, העלות הכוללת של הגניבה ל-Qubit Finance היא 80 מיליון דולר.
Qubit מציעה פרס קריפטו
Qubit Finance פורסם בלוג היום עם פירוט משחק אחר משחק של ההתקפה בשלמותה.
בעמוד הטוויטר של קוביט, הצוות גם צייץ שהוא "שמח לנהל שיחה עם [התוקף]". היא צירפה הודעת צילום מסך שאומרת ש-Qubit "מוכנה להציע [לתוקף] את השפע המקסימלי עבור הניצול שנחשף" כדי "למזער את ההשפעה על הקהילה".
אנליסטי האבטחה של Blockchain Peckshield צייצו ביום שישי בבוקר כי ביקרה את פרוטוקול ההלוואות של Qubit Finance ותספק פרטים נוספים בקרוב.
נראה שה-QBridge של @QubitFin נפרץ כדי להטביע כמות עצומה של בטחונות xETH ולנקז את כספי המאגר כ-80 מיליון דולר. שימו לב שבדקנו את ההלוואות של Qubit, לא את ה-QBridge! עוד לבוא…
- PeckShield Inc. (@peckshield) ינואר 27, 2022
למרות שמתקפה זו הייתה הגדולה ביותר השנה, זו לא הייתה הפריצה הצולבת-שרשרת הראשונה ב-2022.
בשבוע שעבר, האקר עם כובע לבן גנב 1.73 מיליון דולר מ-Multichain לפני שהחזירו 900,000 דולר והכניס לכיסו את השאר כפרס.
כאשר בלוקצ'יין שונים הופכים פופולריים ולצידה צומחת פעילות צולבת שרשרת, פרויקטים כמו Qubit ו-Multichain צפויים להפוך למטרות מפתח עבור האקרים.
מקור: https://decrypt.co/91447/binance-smart-chain-ethereum-crypto-bridge-hacked-80-million