Потеряв токены BNB на сумму 80 миллионов долларов в результате недавнего взлома, Qubit Finance присоединилась к неудачному списку эксплуатируемых протоколов DeFi в Binance Smart Chain (BSC).

Протокол кредитования DeFi сообщил об инциденте в сообщении в Твиттере, показав, что злоумышленник воспользовался уязвимостью в Qubit Bridge — межсетевом мосту к Ethereum.

Что случилось?

Команда Qubit отметила адрес хакера и опубликовала подробный отчет, включающий анализ атаки.

Отчет об использовании протокола
Этот отчет включает анализ атаки в целом, чтобы установить характер эксплойта и предотвратить любые подобные эксплойты в будущем. https://t.co/0152W0X553

— Qubit Finance (@QubitFin) 28 января 2022 г.

QBridge позволяет пользователям вносить WETH из основной сети Ethereum в смарт-контракт Qubit на основе BSC и чеканить xETH, который можно использовать в качестве залога для заимствования в BSC.

Однако злоумышленник воспользовался уязвимостью и сумел создать неограниченное количество xETH без внесения депозита WETH.

Используя отчеканенный xETH в качестве залога, злоумышленник вывел 206 809 BNB из протокола кредитования на сумму примерно 80 миллионов долларов.

Команда Qubit продолжает отслеживать затронутые активы, которые на момент написания статьи еще не переехали с помеченного адреса.

Qubit пытается связаться с злоумышленником

Эксплуатируемый протокол также предпринимал попытки связаться с злоумышленником.

В онлайн-сообщении команда предложила вознаграждение в размере 250 000 долларов в обмен на украденные активы — максимальную сумму, установленную текущей программой вознаграждения за обнаружение ошибок Qubit.

[Наше сообщение эксплуататору]
Команда рада пообщаться с вами. https://t.co/4SxtuD6pQY pic.Twitter.com/V9bICKvWda

— Qubit Finance (@QubitFin) 28 января 2022 г.

«Мы добиваемся, чтобы вы договорились с нами напрямую, прежде чем предпринимать какие-либо дальнейшие действия. Эксплойт и потеря средств оказывают глубокое влияние на тысячи реальных людей», — говорится в протоколе в Твиттере, призывающем злоумышленника к сотрудничеству.

«Если предложение о максимальной награде — это не то, что вы ищете, мы открыты для разговора. Давайте найдем решение», — добавила команда.

В то время как команда продолжает сотрудничать с партнерами по безопасности и сети, включая Binance, протокол отключил функции поставки, выкупа, заимствования, погашения, моста и моста до дальнейшего уведомления.

Согласно базе данных REKT DeFi Yield, эксплойт Qubit Finance занимает седьмое место среди крупнейших атак по сумме украденного.

Источник