Новости Хакер понес убытки на взломе DeFi-проекта Raft

Биржи на которых я торгую:

• Binance;
• Gate;
• Kucoin;

DeFi-платформа Raft потеряла около $3,3 млн в Ethereum в результате взлома. Но атака, вероятно, принесла злоумышленнику только убытки, обнаружили эксперты.

absolutely unhinged
1. hacker pulled 18 ETH from tornado cash
2. hacked a total of 1,577 ETH
3. burned 1,570 ETH and sent remaining 7 ETH to themselves
4. After fees, they're left with 14 ETH

So total profit after fees is -4 ETH

mf might go to jail to LOSE 4 ETH

— 0xngmi (@0xngmi) November 10, 2023​

Аналитик под ником 0xngmi отметил, что хакер в общей сложности вывел из протокола 1577 ETH (~$3,3 млн). Однако 1570 ETH он отправил на адрес сжигания, а в свой кошелек — только 7 ETH.

Для атаки злоумышленник использовал 18 ETH, заведенные через миксер Tornado Cash. Но после всех операций и уплаты комиссий у него осталось 14 ETH.

«Сукин сын может сесть в тюрьму за потерю 4 ETH», — написал эксперт.
​

Raft предоставляет возможность выпускать привязанный к доллару США стейблкоин R под обеспечение в деривативах ликвидного эфира вроде stETH от Lido Finance.

Глава исследований в Wintermute Игорь Игамбергиев раскрыл схему атаки. Злоумышленник создал два «дочерних» контракта для выпуска 3000 R с помощью 2 cbETH. Затем он ликвидировал обеспеченные позиции с 1 000 ETH, полученных через мгновенные займы.

1/6

Sad, but @raft_fi was exploited, and the attacker was able to mint 6.7 uncollateralized R stablecoin

The twist is that they converted them into ETH, which was sent to the null address, but first things firsthttps://t.co/q6U5fyRek9

— Igor Igamberdiev (@FrankResearcher) November 10, 2023​

Манипулирование ликвидностью увеличило залоговые средства хакера до 3900 ETH, которые он использовал для чеканки 6,7 млн необеспеченных R. Далее он реализовал токены за эфир для продажи через какой-нибудь миксер, предположил Игамбергиев.

По словам эксперта, атакующий не учел, что при конвертации активов функция обратится к хранилищу из основного контракта, в котором адрес хакера не был инициализирован.

6/6

So, instead of sending ETH to the attacker, coins went to the null address, which has no private key, oopshttps://t.co/sjc3mtLlG3

— Igor Igamberdiev (@FrankResearcher) November 10, 2023

«Таким образом, вместо отправки ETH злоумышленнику монеты пошли на нулевой адрес, у которого нет закрытого ключа, упс», — пояснил Игамбердиев.
​

Соучредитель Raft Дэвид Гарай подтвердил взлом и несанкционированный вывод средств из протокола. Команда начала расследование инцидента и пообещала предоставить сообществу подробную информацию.

There's been an exploit situation for @raft_fi where the exploiter minted R (which was then sold to drain AMM liquidity), and also managed to withdraw collateral at the same time

We are investigating — post-mortem will follow soon

— DG (@davgarai) November 10, 2023​

Платформа приостановила эмиссию стейблкоина.

По данным CoinMarketCap, после атаки «стабильная монета» потеряла привязку к доллару. На момент написания актив торгуется на уровне около $0,08.

Напомним, потери взломанной накануне централизованной криптобиржи Poloniex превысили $124,5 млн.

Новость Хакер понес убытки на взломе DeFi-проекта Raft на сайте CoinProject.info.