Prije nekoliko dana, decentralizirana ne-KYC aplikacija FixedFloat pretrpjela je hakerski napad na svoju infrastrukturu, što je rezultiralo gubicima od 26 miliona dolara.
Prema kompaniji za reviziju i analizu blokova PeckShield, ukradeno je ukupno 1728 ETH i 409 BTC: dio novca je zatim opran prolaskom kroz decentralizirane miksere i coinjoin transakcije.
FixedFloat je naveo da su korisnička sredstva sigurna i da hak nije ugrozio finansijsku stabilnost aplikacije za razmjenu kriptovaluta.
Svi detalji u nastavku.
Ranjivost u strukturi FixedFloat: decentralizirana aplikacija je pretrpjela hakiranje od 26 miliona dolara u BTC i ETH
U subotu, 17. februara, decentralizovana aplikacija za razmjenu kriptovaluta FixedFloat bila je žrtva hakovanja koji je uzrokovao gubitak od 26 miliona dolara u BTC i ETH.
Sve je počelo kada je nekoliko korisnika prijavilo da imaju zamrznute transakcije i nedostaju sredstva na svojim računima; ubrzo nakon toga, otkriveno je analizom na lancu da nekoliko miliona dolara je ispušteno u razne nepriznate vanjske novčanike.
Iako još nije jasno kako je došlo do napada, FixedFloat tim je odmah objasnio da je riječ o “mali tehnički problem” u vrijeme incidenta.
Isti je najavio da će sredstva biti vraćena korisnicima platforme i da hakiranje nije ugrozilo finansijsku stabilnost kompanije.
U svakom slučaju, u vrijeme pisanja članka decentralizovana aplikacija ostaje neaktivna iu režimu održavanja, ali će biti ponovo otvoren u neodređenoj budućnosti, čim bude sigurno da će biti siguran za upotrebu.
Evo šta je na X izvijestio Fixed FixedFloat nakon hakovanja:
Decentralizovana berza je poznata po svojim uslugama koje nisu KYC, koje ne zahtevaju registraciju po klasičnoj proceduri „Upoznaj svog kupca“, što omogućava konkurentsku prednost u pogledu privatnosti.
Nudeći mogućnost da ostane anoniman i omogući transakcije u Bitcoin-u putem Lightning Network-a svojim klijentima, FixedFloat je privukao širok spektar korisnika iz Sjedinjenih Država.
Djelomično, karakteristika anonimnosti i nedostatka internih kontrola pogodovala je zlonamjernom napadu hakera, koji nisu morali dati svoje lične podatke da bi pristupili aplikaciji.
Prema kompaniji PeckShield za kibernetičku sigurnost i analizu blokova, krađa iznosi tačno 1728 ETH, u vrijednosti od 4.85 miliona dolara, i 409 BTC, u vrijednosti od skoro 21 milion dolara.
Većina etera iz hakovanja već je prebačena na širok raspon decentraliziranih razmjena na Ethereum blockchainu.
FixedFloat je izvijestio da rade s organima za provođenje zakona, blockchain forenzičkim kompanijama i berzama kriptovaluta kako bi ušli u trag hakerima, koji još nisu kontaktirali berzu.
Kompanija je izjavila da će ispuniti sve svoje obaveze plaćanja čim nastavi sa radom i siguran je da će razmjena biti sigurna za ponovno korištenje.
Dio ukradenog BTC-a od hakovanja je recikliran kroz coinjoin operaciju
Dok je ETH ukraden hakom decentralizirane aplikacije FixedFloat lako premješten na desetine različitih adresa i kružio kroz Ethereum blockchain, BTC koji su dio istog plijena uskoro će biti reciklirani sa coinjoin transakcijama.
Podsjećamo da je coinjoin vrsta Bitcoin operacije, koju je prvi put teoretizirao Gregory Maxwell 2013. godine, u kojoj nekoliko BTC plaćanja se kombinuju u jednu transakciju, što otežava utvrđivanje koje adrese su potrošile koji iznos.
Slično onome što se dešava sa decentralizovanim mikserima kao što je Tornado Cash, coinjoin transakcije se kombinuju zajedno kako bi se napravila jedna transakcija u zajedničkom pulu, od kojeg deponenti mogu da traže nazad svoje „udružena“ i anonimna sredstva.
U našem slučaju, haker je iskoristio neku vrstu miksera koji koristi metodu za povećanje privatnosti sličnu coinjoin-u, gdje je nekoliko BTC-a već razmijenjeno.
Konkretno, možemo potvrditi da je prema onome što je objasnio istraživač web3 na X, dio ukradenih sredstava, tačnije 2.7544 BTC, slio na adresu
34F2Jjmzo4N3kz3zVVBbqr3nn6NkvQvNjA, koji pripada CEX TradeOgre.
Ovaj novac bi mogao predstavljati proviziju koju je zlonamjerni akter platio za korištenje miksera, koji čini biti povezan sa aplikacijom Whirpool koja implementira napredni sistem privatnosti.
Vjeruje se da je 166 od 409 BTC ukradenih iz decentralizirane aplikacije FixedFloat već prošlo kroz Whirpool mikser.
Incidenti poput ovog uobičajeni su u kriptografskim okruženjima, posebno u onim bez KYC-a koji na neki način štite anonimnost hakera.
Prema lancu forenzičke istraživačke kompanije Chainalysis, uprkos brojnim incidentima zabilježenim 2023. hakova i eksploatacija se smanjuje u odnosu na prethodnu godinu, kada je bio bum krađa.
Sveukupno, vrijednost hakovanih sredstava smanjena je za oko 54.3% u odnosu na 2022. sa ukupnim ukradenim iznosom od približno 1.7 milijardi dolara, uglavnom izvedenom iz hakova DeFi aplikacija.
Izvor: https://en.cryptonomist.ch/2024/02/20/the-decentralized-application-fixedfloat-falls-victim-to-a-26-million-hack/