Взломавший Thorchain хакер развернул специальный смарт-контракт, который смог обманом заставить мост в сеть Эфириума получить депозит из поддельных активов.
Согласно записи в Твиттере разработчиков проекта, децентрализованная биржа Thorchain пострадала от еще одной уязвимости. На этот раз действия хакеров обошлись площадке примерно в $8 млн.
THORChain has suffered a sophisticated attack on the ETH Router, around $8m. The hacker deliberately limited their impact, seemingly a whitehat.
ETH will be halted until it can be peer-reviewed with audit partners, as a priority.
LPs in the ERC-20 pools will be subsidised.
— THORChain (@THORChain) July 23, 2021
Злоумышленник запустил специальный контракт, который обманул смарт-контракт Bifrost
– мост в сеть Эфириума, смог получить депозит из поддельных активов, после чего сеть обработала перевод хакеру реальных токенов. Разработчики написали:
«Thorchain подверглась изощренной атаке на ETH Router, которая обошлась примерно в $8 млн. Хакер намеренно ограничил ущерб, возможно, это «белый хакер». Переводы ETH будут остановлены до тех пор, пока смарт-контракт не будет изучен в приоритетном порядке партнерами по аудиту. Поставщики ликвидности в пулах ERC-20 получат возмещение».
Впоследствии инициатор атаки запросил вознаграждение в размере 10%, которое будет ему выплачено, если он вновь обратится к разработчикам.
«Это тяжелое время для сообщества и проекта. У нас есть деньги для покрытия убытков, но пора замедлиться. Thorchain слишком важна, чтобы провалиться. Сложность машины состояния – ахиллесова пята проекта. Но это решаемая проблема, если пересмотреть процедуры разработки и экспертную оценку», — добавили
разработчики.
Главная особенность ThorChain — поддержка нескольких блокчейнов. На прошлой неделе биржа была взломана
и хакерам удалось вывести 4 000 ETH ($7.6 млн). После взлома Thorchain заявила, что прошла аудиты нескольких компаний, специализирующихся на безопасности блокчейнов, для обнаружения ошибок и уязвимостей.
«У нас было два варианта. Запуститься и принять риск возникновения проблем или не запускаться и оставаться в завершенном на 90% цикле аудита еще шесть месяцев. Любое решение подразумевало сложности», — заявляет Thorchain.