Децентрализованная биржа KyberSwap предложила вознаграждение в размере 10% хакеру, который 22 ноября украл 46 миллионов долларов и оставил записку о переговорах. Биржа хочет, чтобы 90% добычи было возвращено к 6 утра UTC 25 ноября.
23 ноября KyberSwap предупредил пользователей о том, что ее решение по обеспечению ликвидности KyberSwap Elastic было скомпрометировано, и посоветовал им вывести средства. Тем временем, 22 ноября хакер украл примерно 20 миллионов долларов в обернутом эфире (wETH), 7 миллионов долларов в обернутом эфире с ставкой Lido (wstETH) и 4 миллиона долларов в Arbitrum (ARB). Затем хакер перекачал добычу через несколько цепочек, включая Arbitrum, Optimism, Ethereum, Polygon и Base.
Хакер KyberSwap поделился своей готовностью договориться о компромиссе. Источник: etherscan.io
Спрятав украденные средства, хакер написал сообщение в сети, адресованное разработчикам, сотрудникам KbyerSwap, членам DAO и LP, в котором говорилось: «Переговоры начнутся через несколько часов, когда я полностью отдохну».
Команда KyberSwap ответила хакеру и предложила вознаграждение в размере 10%. Источник: etherscan.io
После дневного молчания с обеих сторон KyberSwap ответил хакеру с просьбой вернуть 90% украденных средств. Команда признала навыки хакера и выдвинула предложение:
«На столе объявлена награда, эквивалентная 10% средств пользователей, отобранных у них в результате вашего взлома, за безопасное возвращение всех средств пользователей. Но мы оба знаем, как это работает, так что давайте перейдем к делу, чтобы вы и эти пользователи могли продолжать жить дальше».
Если хакер не сможет вернуть деньги или ответить на KyberSwap до 6 утра по всемирному координированному времени 25 ноября, «вы останетесь в бегах», — заявили в KyberSwap. Команда открыта для дальнейшего обсуждения с хакером по электронной почте.
Связанный: KyberSwap объявляет о потенциальной уязвимости и просит LP выйти как можно скорее
Анализ недавнего взлома KyberSwap экспертом по децентрализованным финансам (DeFi) предполагает, что злоумышленник использовал «глюк с бесконечными деньгами» для вывода средств.
Основатель Ambient Exchange Дуг Колкитт объяснил, что злоумышленник KyberSwap использовал «сложный и тщательно разработанный эксплойт смарт-контракта» для проведения атаки.
1/ Закончил предварительное глубокое погружение в эксплойт Kyber и думаю, что теперь я довольно хорошо понимаю, что произошло.
Это, пожалуй, самый сложный и тщательно продуманный эксплойт смарт-контракта, который я когда-либо видел…
– Дуг Колкитт (@0xdoug) 23 ноября 2023 г.
Затем злоумышленник повторил этот эксплойт против других пулов Kyberswap в нескольких сетях, в результате чего ему сошло с рук 46 миллионов долларов криптовалютной добычи.
Журнал: Это ваш мозг о криптовалюте: среди криптотрейдеров растет злоупотребление психоактивными веществами
