Децентралізований додаток FixedFloat зазнав зламу на 26 мільйонів доларів

Кілька днів тому децентралізований додаток FixedFloat, який не відповідає KYC, зазнав хакерської атаки на свою інфраструктуру, що призвело до збитків у 26 мільйонів доларів.

Згідно з аудиторською компанією PeckShield, що займається аналізом блокчейнів, було викрадено загалом 1728 ETH і 409 BTC: частина грошей потім була відмита шляхом проходження через децентралізовані змішувачі та транзакції coinjoin.

FixedFloat заявив, що кошти користувачів у безпеці і що злом не поставив під загрозу фінансову стабільність програми обміну криптовалютами.

Всі подробиці нижче.

Уразливість у структурі FixedFloat: децентралізована програма зазнала зламу на 26 мільйонів доларів у BTC та ETH

У суботу, 17 лютого, децентралізований додаток для обміну криптовалютами FixedFloat став жертвою злому, який спричинив втрати в розмірі 26 мільйонів доларів у BTC та ETH.

Все почалося з того, що кілька користувачів повідомили про заморожені транзакції та відсутність коштів на їхніх рахунках; невдовзі після аналізу в ланцюжку було виявлено, що кілька мільйонів доларів було злито на різні невідомі зовнішні гаманці.

Хоча поки неясно, як сталася атака, команда FixedFloat негайно пояснила, що це була “невелика технічна проблема" на момент інциденту.

Там же оголосили, що кошти будуть повернуті користувачам платформи і що злом не поставив під загрозу фінансову стабільність компанії.

У всякому разі, на момент написання статті децентралізована програма залишається неактивною та в режимі обслуговування, але його буде знову відкрито в невизначеному майбутньому, щойно він стане безпечним для використання.

Ось що повідомляє на X від Fixed FixedFloat після злому:

Децентралізована біржа відома своїми послугами без KYC, які не вимагають реєстрації за класичною процедурою «Знай свого клієнта», що забезпечує конкурентну перевагу з точки зору конфіденційності.

Пропонуючи своїм клієнтам можливість залишатися анонімним і дозволяючи транзакції в біткойнах через Lightning Network, FixedFloat залучив широке коло користувачів зі Сполучених Штатів.

Частково характеристика анонімності та відсутність внутрішнього контролю сприяли зловмисній атаці хакерів, яким не потрібно було надавати свої особисті дані для доступу до програми.

За даними компанії з аналізу кібербезпеки та блокчейнів PeckShield, крадіжка становить рівно 1728 ETH, вартістю 4.85 мільйона доларів, і 409 BTC, вартістю майже 21 мільйон доларів.

Більшу частину ефіру від злому вже було передано на широкий спектр децентралізованих бірж у блокчейні Ethereum.

У FixedFloat повідомили, що вони співпрацюють з правоохоронними органами, експертними компаніями блокчейну та криптовалютними біржами, щоб відстежити хакерів, які ще не зв’язувалися з біржею. 

Компанія заявила, що виконає всі свої платіжні зобов'язання як тільки він відновить роботу і буде впевнений, що обмін знову буде безпечним для використання.

Частину вкрадених BTC під час злому було перероблено за допомогою операції coinjoin

Хоча ETH, вкрадений під час злому децентралізованої програми FixedFloat, легко переміщувався на десятки різних адрес і циркулював через блокчейн Ethereum, BTC, які є частиною того самого луту, збираються переробити з транзакціями coinjoin.

Нагадуємо, що coinjoin — це тип операції з біткойнами, вперше запропонований Грегорі Максвеллом у 2013 році, в якому кілька платежів BTC об'єднуються в одну транзакцію, що ускладнює визначення того, які адреси витратили яку суму.

Подібно до того, що відбувається з децентралізованими змішувачами, такими як Tornado Cash, транзакції coinjoin об’єднуються разом, щоб зробити одну транзакцію в спільному пулі, з якого вкладники можуть запитувати назад свої «об’єднані» та анонімні фонди.

У нашому випадку хакер скористався своєрідним міксером, який використовує метод підвищення конфіденційності, подібний до coinjoin, де кілька BTC вже обміняно.

Зокрема, ми можемо стверджувати, що згідно з тим, що пояснив дослідник web3 на X, частина вкрадених коштів, а точніше 2.7544 BTC, надійшла на адресу

34F2Jjmzo4N3kz3zVVBbqr3nn6NkvQvNjA, який належить до CEX TradeOgre.

Ці гроші можуть являти собою комісію, сплачену зловмисником за використання мікшера, який Здається, бути пов’язаним із додатком Whirpool, який реалізує розширену систему конфіденційності.

Вважається, що 166 із 409 BTC, вкрадених із децентралізованої програми FixedFloat, уже пройшли через міксер Whirpool.

Подібні інциденти є звичайним явищем у криптографічних середовищах, особливо в середовищах без KYC, які якимось чином захищають анонімність хакерів.

Згідно з ланцюжковою дослідницькою компанією Chainalysis, незважаючи на численні інциденти, зареєстровані у 2023 р. хаків і експлойтів зменшується порівняно з попереднім роком, коли був бум крадіжок.

Загалом вартість зламаних коштів зменшилася приблизно на 54.3% порівняно з 2022 роком із загальною сумою вкрадених приблизно 1.7 мільярда доларів, в основному отриманих від злому додатків DeFi.