Більше 2 мільйонів доларів було вкрадено з TempleDAO через міксер Tornado Cash.
16 жовтня було підтверджено, що хакери, які 11 жовтня атакували протокол DeFi TempleDAO, перемістили вкрадений Ethereum (ETH) через міксер Tornado Cash.
Було атаковано один із протоколів стейкінгу, наданих TempleDAO, і стався незаконний витік 1830 ETH на суму 2 мільйонів доларів.
The @templedao exploiter is starting to move funds via @TornadoCash https://t.co/UOl3RJjExq pic.twitter.com/SReMSq573P
— PeckShield Inc. (@peckshield) October 16, 2022
Tornado Cash — це служба змішування, яка працює в мережі Ethereum і анонімізує транзакції. Уряд США вже ввів санкції проти Tornado Cash через підозри, що її використовували для відмивання злочинних коштів.
Що таке міксер?
Сервіс, який приховує особу джерела та власника криптовалюти шляхом змішування кількох даних транзакцій криптовалюти.
Як стався злом
TempleDAO пояснив, що протокол стекінгу STAX був атакований.
Зокрема, хакери використали уразливість у функції, яка дозволяє користувачам переносити токени, розміщені в старому контракті, коли контракт оновлюється до нової версії. Зловмисник викликав цю функцію з підробленою адресою, щоб вивести кошти на свою адресу замість нового договору.
TempleDAO пояснює вразливість тим фактом, що контракт був випущений в альфа-версії і не проходив аудит перед запуском. TempleDAO кажуть, що в майбутньому буде внесено багато покращень, наприклад посилення аудиту коду, щоб запобігти шахрайству.
“Проблема знаходиться під контролем, і хакери не можуть завдати більше шкоди”, – йдеться в повідомленні. «Ми плануємо вжити заходів для виправлення ситуації для всіх постраждалих користувачів».
Повернення коштів
TempleDAO планує співпрацювати з HatsFinance, яка пропонує програму винагород за помилки, щоб домовитися з хакерами, які вкрали кошти. HatsFinance оголосила, що розробила смарт-контракт, який спрощує хакерам повернення коштів у TempleDAO.
1/7
In response to the exploit that @staxfinance suffered, @HatsFinance will be supporting all security efforts to retrieve stolen funds and pay a bounty to the hacker 🧵👇 pic.twitter.com/siPnxnttbK— Hats.Finance 🦇🔊 (@HatsFinance) October 14, 2022
За допомогою цього розумного контракту хакер може підтвердити зміст контракту, наприклад свою адресу та винагороду за повернення коштів. Внісши кошти, які повернуть хакери, команда TempleDAO зможе отримати кошти та активувати функцію надсилання винагороди хакерам. HatsFinance закликав:
Ми закликаємо всіх, хто причетний до цього інциденту, приєднатися до команди. Гарантується сувора конфіденційність, а ті, хто повідомить про це, мають право на винагороду.
Він додав, що якщо всі незаконно вилучені кошти будуть повернуті, 30% від загальної суми буде виплачено як винагороду, і жодних судових дій не буде вжито або повідомлено відповідним органам.