Hacker na kasangkot sa Exploit ng Voltage Finance
Isang hacker na kasangkot sa $4.67 milyong exploit ng decentralized finance lending protocol na Voltage Finance noong 2022 ay naglipat ng ilang ninakaw na Ether patungong Tornado Cash matapos ang maikling panahon ng pagpigil sa kanyang mga transaksyon. Ayon sa blockchain security firm na CertiK, iniulat nito noong Mayo 6 sa isang post sa X na ang 100 Ether, na nagkakahalaga ng $182,783 batay sa kasalukuyang presyo ng merkado, ay inilipat mula sa isang ibang address na unang ginamit sa exploit, na maaari ring subaybayan pabalik sa hacker.
Paraan ng Espiolasyon
Noong Marso 2022, sinamantala ng tagapag-exploit ang isang “built-in callback function” sa ERC677 token standard na pinahintulutan silang ubusin ang lending pool ng platform sa pamamagitan ng isang reentrancy attack, ayon sa CertiK. Matapos ang insidente, inireport ng Voltage Finance na ang hacker ay ninakaw ang iba’t ibang stablecoins at iba pang cryptocurrency, kabilang ang USDC, Binance USD (BUSD), wapped Bitcoin, at mga Ethereum tokens.
Kasunod na mga Aksyon ng Voltage Finance
Ang address na ginamit ng hacker upang ilipat ang pondo patungong Tornado Cash ay walang galaw mula pa noong Nobyembre, na ang pinakahuling transaksyon ay naganap 166 na araw na ang nakalipas, batay sa datos mula sa Etherscan. Sa kanilang postmortem ng 2022 exploit, sinabi ng Voltage Finance na ang address ng attacker ay na-flag sa Etherscan, at hiniling sa mga palitan na harangin ang anumang transaksyon mula rito. Nagkaroon din ng mga pagtatangkang makipag-ugnayan sa attacker upang makipagnegosyo ng bounty para sa pagbabalik ng mga ninakaw na pondo.
Karagdagang Exploit at Mga Pagkalugi
Ang mga staking pools ng Voltage Finance ay naapektuhan ng exploit noong Marso. Ang Voltage Finance ay muling naharap sa isang karagdagang exploit noong Marso 18, kung saan ang kanilang Simple Staking pools ay nakompromiso, ayon sa pahayag ng protocol na nai-post sa X. Sa kabuuan, umabot sa $322,000 ang nai-report na ninakaw. Sa kanilang postmortem noong Marso 20, inilaan ng Voltage Finance ang $50,000 bilang bounty para sa attacker upang ibalik ang mga ninakaw na pondo. Posible rin nilang nakilala ang isang developer na nagtrabaho sa Simple Staking pools na maaaring may kinalaman sa insidente.
“Habang hindi pa namin nakumpirma na siya ang hacker, bilang pag-iingat, agad naming inalis ang kanyang access at nag-file ng mga ulat sa pulisya upang makipagtulungan sa mga awtoridad at mga sentralisadong palitan,”
sabi ng mga opisyal ng Voltage Finance.
Kahalagahan ng mga Insidente sa Crypto
Sa kabuuan, tumaas ng 1,163% ang mga pagkalugi sa crypto noong Abril, kung saan malaking bahagi nito ay nagmula sa isang solong pagnanakaw mula sa pitaka ng isang matandang tao sa US. Ginamit ng isang hacker ang mga advanced na taktika sa social engineering upang nakawin ang 3,520 Bitcoin, na katumbas ng $330.7 milyon. Kung hindi isasama ang insidenteng iyon, umabot lamang sa $34 milyon ang mga pagkalugi sa crypto noong Abril, na nagpakita ng 21% na pagtaas mula noong Marso.
Sa kabila nito, may mga positibong balita rin nang higit sa $18 milyon ang naibalik matapos ang hacker na nasa likod ng $7.5 milyong exploit ng decentralized exchange na KiloEx ay nagbalik ng lahat ng ninakaw na pondo apat na araw matapos ang atake. Gayundin, nakabawi ang ZKsync Association ng $5 milyon na halaga ng mga ninakaw na token mula sa isang insidente ng seguridad na kinasasangkutan ang kanilang airdrop distribution contract noong Abril 15.
