Кто подставил Джона Карони: DeFi снова под ударом
Буквально неделю назад мы писали о крупнейшем на данный момент эксплойте 2023 года — взломе DeFi-платформы на базе блокчейна Ethereum Euler Finance, предоставляющей услуги криптовалютного кредитования. Напомним: использовав механизм мгновенных займов, маржинальную торговлю и уязвимость одной из функций протокола после обновления, неустановленный хакер присвоил криптоактивы на сумму около 197 миллионов долларов США.
Сегодня же в полку криптопроектов, пострадавших от изобретательных взломщиков, снова прибыло: DeFi-протокол SafeMoon, по сообщениям его официального аккаунта и аккаунта его CEO, Джона Карони (John Karony), также подвергся хакерской атаке, в результате которой потерял 27 380 BNB на сумму 8,9 миллионов долларов США. Это, конечно, не 197, но, согласитесь, всё равно неприятно. Забавно, что инцидент произошёл день в день с 4 годовщиной взлома Bithumb, в результате которого было похищено около 13 миллионов. Кто-то в курсе, есть ли какой-то календарь благоприятных дней для подобных мероприятий?
Эксплойт или rug pull: подводные камни DeFi-взлома SafeMoon
«DeFiMark», аккаунт представителя Dappd – одной из множества компаний на рынке обеспечения безопасности децентрализованных финансовых сервисов — пояснил, что речь идёт о достаточно очевидном применении уязвимости системы после очередного обновления. Злоумышленник воспользовался функцией public burn(), которая позволяла любому пользователю сжигать токены с ЛЮБОГО другого адреса. Как известно, процесс сжигания токенов, сокращая предложение, логично повышает спрос и, как правило, приводит к увеличению стоимости актива. Удалив токены SFM из пула ликвидности SafeMoon-WBNB, хакер искусственно повысил цену криптоактива и смог оперативно продать его по очевидно завышенной цене в рамках той же транзакции, уничтожив оставшиеся WBNB. Элементарный эксплойт, который не занял у EOA 0x286 много времени, но стоил пользователям системы немалую сумму вложенных денег.
Оригинально и примечательно в данном инциденте то, что, как сообщает уже известная нам PeckShield Ink., обновление протокола с использованием критической ошибки было инициировано официальным SafeMoon:Deployer. Из-за чего аудиторская компания осторожно предположила версию об утечке внутреннего ключа администратора, а вот пользователи Всемирной паутины – куда громче и активнее — заговорили о rug pull, то есть мошенническом выводе ликвидности из пула владельцами платформы, или же о rug pull с бонусом в виде недобросовестного администратора.
Оба варианта не то, чтобы поддерживают репутацию сервиса, особенно учитывая имеющийся бекграунд в виде иска Bill Merewhuader et al v. SafeMoon LLC et al о недобросовестной рекламе с привлечением знаменитостей, недобросовестной конкуренции, мошенничестве и нарушении прав потребителей.
Неожиданное опосредованное подтверждение этих гипотез мы нашли в тредах @TheFudHound и @CryptoCarc:
Оба эксперта утверждают, что изначально функция в контракте была прописана верно, и эксплойт по данному параметру был невозможен. Однако уже ПОСЛЕ обновления V1 до V2 кто-то, используя официальный внутренний ключ, заменил рабочую функцию burn() на уязвимую. Поскольку это требовало определённых активных действий со стороны администратора (удаления `msg.sender` и параметризации адреса `from`), нас, как и Twitter-сообщество, терзает вопрос: это пример поразительной некомпетентности сотрудников в сфере DeFi или же чье-то умышленное деяние из корыстных побуждений?..
Сложно сказать, получим ли мы ответ в ближайшее время. На наше непосредственное: «А как Вы считаете?..»
тот же Дэвид Уили (David Wyly) ответил:
У меня нет никаких доказательств того, что это было сделано намеренно. Конечно, все возможно, но на данный момент я склоняюсь к некомпетентности в сочетании с ужасным или полностью отсутствующим набором внутренних процессов рецензирования/QA/разработки.
Но некоторые бывшие сотрудники SafeMoon непрозрачно намекают, что увольнения не согласных с политикой обновлений в этой компании происходят быстро и болезненно. С чего бы это?
И, да, кстати, все специалисты, с мнением которых мы ознакомились, подтвердили, что ошибку такого рода выявил бы любой аудит. Но вот беда: известная своими отчётами CertiK делала аудит обновлений для SafeMoon, однако «This upgrade was not within the scope of our audit» — конкретно это несложное обновление почему-то не входило в объём их проверки… Учитывая предыдущую практику с Sherlock, мы в данном случае можем их только поздравить: ребятам хотя бы не придётся выплачивать компенсацию.
Что же дальше?
Тем временем, Карони и официальный аккаунт платформы продолжают утверждать, что децентрализованная биржа стабильна, и их команда в течение нескольких часов после взлома уже встретилась с ведущими консультантами в сфере безопасности, чтобы согласовать план дальнейших действий и защитить держателей токенов. Эксплойт выявлен, уязвимость устранена, и даже был привлечён эксперт, который определил точную природу и масштаб взлома. Другие пулы и кошелёк SafeMoon якобы безопасны для трейдинга и хранения активов юзеров, а хакер EOA 0x286, как и ранее тот, кто взломал Euler Finance, вышел на связь с представителями компании.
Заявив, что атака против SafeMoon была предпринята случайно, и «они» готовы разговаривать и вернуть деньги, он перевёл пострадавшей стороне 4 тысячи BNB (1,2 миллиона долларов США). Компания, судя по гуляющим в сети скринам, предложение о диалоге приняла – почему-то указав для него не общеизвестный, но персонально связанный с одним конкретным разработчиком, кошелёк… А @BeosinAlert отметил, что MEV-бот 0x286E09932B8D096cbA3423d12965042736b8F850, видимо тоже совершенно случайно, уже совершал ранее атаки на другие протоколы — и выводил средства с Binance Hot Wallet.
О дальнейшем ходе переговоров пока ничего не известно. Но, цитируя Джона Карони, «будем добры друг к другу» и пожелаем пострадавшим от череды случайностей участникам рынка поскорее вернуть свои активы – и восстановить потраченные нервные клетки.
А так же напомним нашим читателям, что согласно отчёту CertiK за март, в результате эксплойтов, взломов и мошенничества в мире цифровых активов было похищено около 235,4 миллиона долларов США.
Берегите себя – и инвестируйте разумно!
UPD. Как стало известно 18 апреля, в результате длительных переговоров руководство SafeMoon достигло консенсуса с хакером, предложив ему 20% от похищенной суммы в качестве «вознаграждения за выявленную уязвимость» и отказавшись от идеи уголовного преследования. Считаем, история для парня закончилась максимально удачно 🙂 А пользователей платформы поздравляем с возвращением хотя бы 80% вложений — это ведь определённо лучше, чем ничего! — и желаем больше не попадать в такие стрессовые ситуации.
Наш спонсор инновационное приложение по поиску недвижимости, у которого нет аналогов – https://t.me/neurostatecom