Šią savaitę šimtai „Ethereum“ piniginių, daugelis iš kurių neaktyvios septynerius metus ar ilgiau, buvo ištuštintos per, on-chain stebėtojų teigimu, tiesioginę ištuštinimo kampaniją, susijusią su tomis pačiomis užpuolikų adresais.
Kai kurių teigimu, nuostoliai jau viršijo 800 000 JAV dolerių.
Kas nutiko ir ką iki šiol žinome
Viena auka, pasivadinusi Capitulation.eth, pirmoji įspėjo, sakydama, kad lėšos paliko jos piniginę be leidimo ir pažymėjo, kad kitos taip pat yra „nulinamos“.
Tai patvirtino kriptovaliutų analitikas Wazz, kuris pasidalijo on-chain duomenimis, rodančiais vieną adresą, kuris iššlavė tas pinigines, iš kurių paskutinį kartą lėšos buvo pajudintos dar 2019 m.
Kitas analitikas, Specter, aukų skaičių įvertino šimtais, o bendrus nuostolius – daugiau nei 800 000 JAV dolerių. Anot jo, užpuolikas deponavo 2 ETH į biržą, greičiausiai konvertavo į Monero, ir atskirai perkėlė 324 ETH, vertus apie 734 000 JAV dolerių, į Bitcoin tinklą per Thorchain.
Labiausiai stebina tai, kad atakuojamos piniginės yra senos. Specter pažymėjo, kad dauguma paveiktų piniginių buvo sukurtos prieš ketverius–aštuonerius metus, su labai nedaug išimčių.
Bendruomenės tyrėjai iš esmės sutaria, kad tai nėra išmaniosios sutarties pažeidžiamumas arba žetonų patvirtinimo išnaudojimas. Kūrėjas Fitna pasakė tiesiai šviesiai:
Jums taip pat gali patikti:
„Senieji slapti raktai ir seed frazės nutekėjo prieš daugelį metų iš blogų piniginių programų, silpno atsitiktinumo, pavogtų atsarginių kopijų, LastPass, debesų nutekėjimų ar senos 2017/18 programinės įrangos. Programišius dabar ištuština likusius ETH.“
Kriptografas Mikerah pasiūlė panašų paaiškinimą, teigdamas, kad modelis rodo senesnį rakto generavimo procesą, kuris naudojo silpną entropiją, pridurdamas, kad scenarijus yra „tikrai baisus pagalvoti“.
Kūrėjas Rahul Saxena pasinaudojo incidentu, ragindamas vartotojus patikrinti pinigines dėl senų žetonų patvirtinimų, ir nurodė revoke.cash kaip įrankį jiems pašalinti, nors Fitna ir kiti pabrėžė, kad patvirtinimo sukčiavimo atvejai skiriasi nuo to, kas, atrodo, čia vyksta.
Balandis jau buvo baisus mėnuo DeFi saugumui
Ši ataka smogė paskutinę analitiko Abdul apibūdinto mėnesio, kaip „blogiausio mėnesio DeFi išnaudojimų prasme“, dieną, kai per 30 dienų buvo prarasta maždaug 635 mln. JAV dolerių per 28 incidentus.
Sąrašas prasideda nuo 285 mln. JAV dolerių išnaudojimo „Drift“ balandžio 1 d. iki daugiau nei 5 mln. JAV dolerių smūgio „Wasabi Protocol“ tą pačią dieną, kai buvo pažymėtas neaktyvios piniginės ištuštinimas.
Didžiausias mėnesio incidentas buvo „KelpDAO“ išnaudojimas balandžio 18 d., kai užpuolikai ištuštino beveik 294 mln. JAV dolerių iš likvidaus restaking protokolo tilto sutarties, konvertuodami pavogtas lėšas į ETH ir paskirstydami jas per Ethereum ir Arbitrum.
Ataka prieš „Syndicate Network“, apie kurią pranešta balandžio 29 d., prie bendros sumos pridėjo dar 330 000 JAV dolerių, kai adresas įgijo 18,5 mln. SYND žetonų per tilto kompromisą ir juos pardavė, nuleisdamas SYND žemyn daugiau nei 37% per 24 valandas.
