Сообщается, что в результате взлома инфраструктуры моста в экосистеме IoTeX (IOTX) было украдено криптовалюты на сумму более 8 миллионов долларов. Первоначальные данные свидетельствуют о том, что атака произошла не из-за ошибки в смарт-контракте, а из-за компрометации одного закрытого ключа.
Согласно данным блокчейна, злоумышленник быстро конвертировал скомпрометированные активы в ETH, а затем начал переводить средства в сеть Bitcoin через THORChain. Это рассматривается как попытка затруднить отслеживание.
В основе инцидента лежит взлом адреса внешнего принадлежащего аккаунта (EOA), которому принадлежит контракт «TransferValidatorWithPayload». Получение этого закрытого ключа позволило злоумышленнику изменить владельца контрактов TokenSafe и MinterPool. Это дало ему возможность получить привилегированный доступ к системе и украсть средства.
По мнению экспертов, здесь нет уязвимости смарт-контракта или сложного механизма эксплуатации. Простая функция mint() в контракте выполняла вызов transfer() в контрактах токенов. Однако, как только право собственности было получено, эта функция была использована не по назначению, и все активы были выведены.
Согласно анализу блокчейна, в результате атаки были украдены следующие активы:
- 2,835 UNI
- 45,825 млрд долларов США
- 13,85 млн IOTX
- 8.71 PAXG
- 20.158 DAI
- 6.11 WBTC
- 635 WETH
- 1,36 миллиона долларов США
- 1,14 миллиона USDT
Кроме того, злоумышленник выпустил токены CIOTX на сумму около 4 миллионов долларов через MinterPool. Аналитики отмечают, что инцидент не был «нарушением договора», а представлял собой прямое нарушение доверия на уровне владения, и что компрометация одного ключа вызвала цепную реакцию.
После того, как инцидент распространился в социальных сетях, команда IoTeX выпустила официальное заявление. В заявлении указывалось, что нарушение безопасности было быстро устранено, и ситуация взята под контроль. Первоначальные оценки показывают, что потенциальный ущерб меньше, чем цифры, распространяемые в интернете.
Команда также объявила, что координирует свои действия с несколькими крупными криптовалютными биржами и работает над отслеживанием и замораживанием активов злоумышленника. Они заявили, что обновления будут распространяться через официальные каналы и что пользователям следует доверять только проверенным источникам.
*Это не инвестиционная рекомендация.