Ekubo став мішенню кібератаки: втрати сягнули $1.4 мільйона

Криптовалютний протокол Ekubo нещодавно пережив серйозний інцидент безпеки. За попередніми оцінками, загальні збитки проєкту в мережах Ethereum та Arbitrum становлять приблизно 1,4 мільйона доларів США (приблизно 56 мільйонів гривень за поточним курсом). Платформа запевнила, що постачальники ліквідності та користувачі мережі Starknet жодним чином не постраждали.

Деталі інциденту та механізм атаки

Згідно з інформацією, атака була спрямована на контракт маршрутизатора свопів, що функціонує в EVM-сумісних мережах. Команда Ekubo наполегливо рекомендувала всім користувачам негайно відкликати будь-які активні дозволи на використання токенів, оскільки до моменту відкликання вони залишаються вразливими.

Фахівці компанії Blockaid, що спеціалізується на кібербезпеці блокчейнів, з’ясували, що зловмисники скористалися вразливістю у спеціальному контракті-розширенні на Ethereum. Критичною помилкою стала недостатньо надійна функція верифікації, яка не могла належним чином підтвердити, хто саме має право авторизувати платіжні операції. Це дозволило кіберзлочинцям підставляти власні дані та ініціювати перекази коштів з рахунків користувачів, які раніше надали відповідні дозволи на використання своїх токенів. Простими словами, система довіряла зовнішнім даним без належної перевірки, що відкрило шлях для переміщення активів без згоди їх власників.

Приклад крадіжки токенів

Аналітики SlowMist припустили, що одним із сценаріїв могло бути використання раніше наданого необмеженого дозволу на використання токенів WBTC. Зловмисник, скориставшись цим, провів 85 дрібних транзакцій, виводячи з гаманця жертви по 0,2 WBTC за кожну. Загалом, внаслідок цієї операції було викрадено 17 WBTC.

Загальна картина кіберзагроз у криптовалютній сфері

Квітень цього року виявився надзвичайно невдалим місяцем для криптоіндустрії з точки зору хакерських атак. Протягом 30 днів було зафіксовано понад 25 інцидентів, а загальні втрати перевищили 630 мільйонів доларів США (приблизно 25,2 мільярда гривень). Найбільш руйнівним став злом мосту Kelp, що призвів до втрати 292 мільйонів доларів. Ця атака суттєво зачепила кредитну платформу Aave, оскільки зловмисники використовували вкрадені токени як заставу для отримання кредиту.

Порада від Business News:

Ця новина підкреслює критичну важливість обережного ставлення до надання дозволів на роботу з вашими криптовалютними активами. Завжди уважно перевіряйте, яким протоколам та застосункам ви надаєте доступ до своїх коштів, і регулярно відкликайте непотрібні дозволи, щоб мінімізувати ризики кібератак.

Дізнатися більше на: cryptocurrency.tech