Pagkawala ng $6.7 Milyon mula sa TrustedVolumes
Isang hacker ang nagsimulang maglinis ng mga digital na asset na bahagi ng $6.7 milyong pagnanakaw mula sa liquidity provider na TrustedVolumes, ayon sa cybersecurity firm na PeckShield. Ayon sa bagong datos mula sa PeckShield, ang hacker ay nagsimulang ilipat ang daan-daang libong dolyar na halaga ng Ethereum (ETH).
“Ang nag-exploit sa TrustedVolumes ay nakapaglinis ng $278,000 mula sa ninakaw na pondo hanggang ngayon: nagdeposito sila ng 10.2 ETH ($23,600) sa TornadoCash at naglinis ng 110 ETH ($250,000) sa pamamagitan ng THORChain patungo sa BTC; sinubukan din nilang magdeposito ng 0.5 ETH sa Railgun ngunit nagbago ng isip at ibinalik ito. Ang TrustedVolumes ay na-exploit ng humigit-kumulang $6.7 milyon noong Mayo 7.”
Sinasabi ng TrustedVolumes na handa silang makipag-ayos para sa isang resolusyon sa hacker. Ang kumpanya ay naglista rin ng tatlong wallet address kung saan dalawa ay humahawak ng humigit-kumulang $3 milyon at isa ay naglalaman ng $700,000 na halaga ng mga ninakaw na crypto assets.
“Kamakailan lamang kami ay na-exploit… Bukas kami sa nakabubuong komunikasyon tungkol sa isang bug bounty at isang kapwa katanggap-tanggap na resolusyon.”
Pag-exploit sa TrustedVolumes
Ayon sa blockchain security firm na QuillAudits, ang hacker ay nakapag-alis ng milyon sa isang transaksyon sa pamamagitan ng pagsasamantala sa isang disenyo ng depekto sa custom order-settlement system ng platform.
“Ang TrustedVolumes ay gumagana bilang isang 1inch market maker at resolver, na nagbibigay ng on-chain liquidity sa pamamagitan ng isang custom Request-for-Quote (RFQ) proxy… Sa isang RFQ model, ang maker ay pre-signs ng mga order, na nag-quote ng isang tiyak na presyo para sa isang tiyak na token pair. Ang isang taker ay nagtatanghal ng nakasigning quote sa settlement contract, na nag-verify ng lagda at nagsasagawa ng swap nang sabay-sabay.”
Ang sistema ay umaasa sa tatlong garantiya na nagtutulungan: ang maker ay dapat na awtorisadong malaman kung sino ang maaaring pumirma ng mga order sa kanyang ngalan, bawat nakasigning order ay dapat punan lamang ng isang beses (replay protection), at ang token source para sa fill ay dapat mula sa awtorisadong imbentaryo ng maker, hindi mula sa isang arbitrary third-party address. Sa implementasyon ng TrustedVolumes, ang lahat ng tatlong garantiya ay sabay-sabay na nabigo, at ang attacker ay sinamantala ang mga ito sa isang solong pinagsamang transaksyon.
