Życie cyberprzestępcy do łatwych nie należy. Przekonała się o tym wczoraj zdecentralizowana giełda (DEX) KyberSwap, która została najnowszą ofiarą wyrafinowanego exploita skutkującego wyczyszczeniem protokołu z sumy blisko 46 milionów dolarów amerykańskich. Atakujący zastosował skomplikowane metody manipulacji pulą płynności i inteligentnymi kontraktami, tworząc w rezultacie coś, co eksperci nazwali „błędem pozwalającym na wydrukowanie nieskończonej ilości pieniędzy”. Nie jest to niestety pierwszy tego typu incydent w sektorze zdecentralizowanych finansów ani prawdopodobnie ostatni. To, co jednak wyróżnia wczorajszy przypadek to osobowość i bezczelność samego hakera. Posłuchajcie.
Analiza post-mortem
Luka w zabezpieczeniach, skrupulatnie opisana na X (Twitterze) przez założyciela Ambient Finance, Douga Colkitta, obejmowała szereg doskonale przekalkulowanych kroków mających na celu ominięcie wbudowanych kontroli inteligentnych kontraktów platformy KyberSwap. Subtelnie manipulując pulami płynności poprzez precyzyjne obliczenia, atakujący skutecznie oszukał protokół, ostatecznie drenując ponad 46 milionów dolarów z wielu źródełek jednocześnie.
Analiza Colkitta ujawnia, iż atak opierał się na unikalnych cechach skoncentrowanej implementacji płynności KyberSwap. Na chwilę obecną, zdaniem eksperta, inne znane platformy, takie jak Uniswap czy Ambient Finance, wydają się być zabezpieczone przed tym konkretnym problemem, pokazuje to jednak iż cyberprzestępca wiedział dokładnie w który projekt uderzyć.
Podejście atakującego obejmowało wieloetapową strategię wykorzystującą pożyczki błyskawiczne do manipulowania cenami i płynnością. Po opróżnieniu puli ETH/wstETH, niewielki strumień płynności został wybity w określonym przedziale cenowym, tworząc coś, co Colkitt opisuje jako „czyste płótno” (ang. blank canvas) do manipulacji. Kolejne swapy, wykonywane z niesamowitą dokładnością, pozwoliły atakującemu na podwójne naliczenie płynności, umożliwiając wypłatę środków przekraczających początkowy depozyt.
KyberSwap zareagował na naruszenie bezpieczeństwa błyskawicznie, zalecając swoim użytkownikom natychmiastowe wycofanie wszystkich ulokowanych funduszy. To jednak nie koniec. Pojawiły się też informacje o próbach oszukania przez niepowiązane z hakerem hieny osób próbujących desperacko wypłacić swoje środki.
Jest źle, ale mogło być gorzej
Atakujący, który przez cały czas pozostaje anonimowy, ukradł w sumie ponad 20 milionów dolarów na łańcuchu Arbitrum, 15 milionów dolarów z ekosystemu Optimism oraz 7 milionów dolarów z sieci Ethereum. Wstępne audyty sugerowały, iż skradzione aktywa składały się głównie z ETH, Wrapped Ether (wETH) oraz stablecoinów USDC.
Incydent odbił się więc naturalnie na tzw. całkowitej wartości zablokowanej zdecentralizowanej giełdy (TVL), która, jak donosi portal DeFiLlama, spadła w wyniku ataku i jego pokłosia z ponad 87 milionów dolarów do około 8 mln USD.
Natywny token KyberSwap, $KNC, zareagował na całą sytuację dość mocnymi spadkami: jego cena skurczyła się w następstwie exploita sumarycznie o ok. 7,6%. Nie jest to łatwy czas dla deweloperów platformy, natomiast biorąc pod uwagę dynamikę kursu wygląda ona dużo lepiej niż wskazywałaby na to sytuacja.
Wielkie ego cyberprzestępcy
Żeby tego było mało, oszust, jak się okazuje, ma też godny podziwu tupet. Gdy tylko kurz podniesiony chaotyczną akcją i reakcją opadł na ziemię, haker pozostawił na blockchainie deweloperom oraz śledczym pewną wiadomość. Brzmi ona następująco:
„Drodzy programiści KyberSwap, pracownicy, członkowie DAO oraz dostawcy płynności,
Negocjacje rozpoczną się za kilka godzin kiedy już wypocznę.
Dzięki.”
Oryginał:
Na moment powstawania tego artykułu sprawa pozostaje w martwym punkcie. prawdopodobnie nic się nie „rozejdzie”, natomiast wiadomość zostawiona przez atakującego pozostawia pewną nadzieję, iż nie planuje on (być może nieudolnie) zatrzymać wszystkich skradzionych funduszy. Zazwyczaj instytucjonalne ofiary cyberprzestępców dają im pewne okienko czasowe na dobrowolne przekazania nieuczciwie zarobionych pieniądzy, z zastrzeżeniem, iż niewielką ich część mogą dla siebie zachować jako „znaleźne”.
Czy tak będzie w tym przypadku? Zobaczymy.