Неизвестный похитил $25 млн в криптовалюте у Uniswap и Lendf.me
Вскоре после атаки грабитель осознал, что оставил следы, и стал возвращать украденные средства.
На прошлых выходных мир криптовалюты получил новый удар – киберпреступник похитил $25 млн в криптовалюте у биржи Uniswap и лендинговой платформы Lendf.me. Однако по неосторожности он оставил след, позволяющий правоохранительным органам его вычислить, и теперь пытается договориться с администраторами Lendf.me.
Инцидент произошел в воскресенье, 19 апреля, в 4:45 по московскому времени. Злоумышленник проэксплуатировал уязвимость в расширенном стандарте токенов ERC-777, известную как reentrancy attack (атака повторного входа или рекурсивный вызов). Reentrancy attack позволяет атакующему множество раз запускать одну и ту же функцию и бесконечно выводить деньги до подтверждения или отклонения транзакции.
В качестве «троянского коня» злоумышленник использовал токен imBTC, представляющий собой одну из многих Ethereum-оберток для Bitcoin, написанную в соответствии со стандартом ERC-777. imBTC является более совершенной, но также более уязвимой версией стандарта ERC-20, особенно в контексте децентрализованной валюты. В совокупности с уязвимостью в контрактах Lendf.me и механизме обновления баланса счета пользователя imBTC позволил злоумышленнику успешно похитить криптовалюту на $25 млн.
Вскоре после атаки киберпреступник стал вести себя весьма странно и начал возвращать похищенные средства. Тремя переводами он отправил на 1inch.exchange, ParaSwap и Lendf.me admin токены PAX на $250 тыс. Похоже, это был символичный жест, поскольку «pax» переводится с латыни как «мир». Администрация Lendf.me ответила взломщику, отправив контактный электронный адрес, после чего он вернул выпущенные биржей Huobi активы на сумму в $2,6 млн.
Как пояснил изданию Cointelegraph Сергей Кунц, глава агрегатора децентрализованных бирж 1inch.exchange, которым воспользовался злоумышленник, в ходе атаки грабитель случайно оставил важные метаданные. К примеру, киберпреступник использовал доступную через web сеть доставки контента (CDN), а не интерфейс IPFS. Кроме того, похоже, он не использовал децентрализованную сеть наподобие Tor, так как все три запроса были сделаны с одного IP-адреса в Китае. Скорее всего, злоумышленник прибег к сервису VPN или прокси-серверу, и для получения данных о нем правоохранителям будет достаточно лишь воспользоваться соответствующим ордером. Также известно, что он использовал Mac, где языком по умолчанию является американский английский.
«Похоже, он хороший программист, но никудышний хакер», - резюмировал Кунц. По его словам, полиция уже начала расследование, поэтому грабитель решил вернуть средства в надежде на смягчение наказания.
Цифровые следы - ваша слабость, и хакеры это знают.