Хакер испортил эксплойт DeFi: оставляет украденный контракт на 1 миллион долларов на самоуничтожение

В редкой комедийной неразберихе среди эксплойтов DeFi злоумышленник провалил свое ограбление на финише, оставив более 1 миллиона долларов в украденной криптовалюте.

Сразу после 8 утра по всемирному координированному времени в четверг, 21 апреля, компания BlockSec, занимающаяся безопасностью и аналитикой блокчейнов, сообщила, что обнаружила атаку на малоизвестный протокол кредитования DeFi под названием Zeed, который позиционирует себя как «децентрализованная финансовая интегрированная экосистема».

Злоумышленник воспользовался уязвимостью в том, как протокол распределяет вознаграждения, что позволило им чеканить дополнительные токены, которые затем были проданы, обрушив цену до нуля, но принеся эксплуататору чуть более 1 миллиона долларов.

Аналитическая компания PeckShield отметила, что украденная криптовалюта была переведена в «контракт атаки», смарт-контракт, который автоматически и быстро выполняет найденный эксплойт.

#PeckShieldAlert Похоже, @zeedcommunity подверглась эксплойту. Эксплуататор заработал около $1 млн. Прибыль в настоящее время содержится в контракте на атаку. https://t.co/bSHHGM623Q @peckshield https://t.co/jXVj0oGI8B

— PeckShieldAlert (@PeckShieldAlert) 21 апреля 2022 г.

Однако злоумышленник, по-видимому, был настолько взволнован своим успешным ограблением, что забыл перевести украденную криптовалюту на сумму более 1 миллиона долларов из своего контракта на атаку, прежде чем настроить его на самоуничтожение, навсегда и необратимо гарантируя, что средства никогда не будут перемещены.

Интересный. Хакер убивает контракт, но забывает перевести прибыль. https://t.co/HbS2fiztuc https://t.co/uApZyK8Uym pic.Twitter.com/FwpZweNLHU

— PeckShield Inc. (@peckshield) 21 апреля 2022 г.

Использование сканера блокчейна для просмотра адреса контракта атаки показывает, что токен BSC-USD Binance-Peg на сумму 1 041 237,57 долларов США навсегда застрял в контракте, и успешное самоуничтожение контракта было подтверждено в 7:15 утра по всемирному координированному времени 21 апреля.

Это один из самых странных поворотов событий с тех пор, как хакер Polygon сделал «Спроси меня о чем угодно», используя встроенные сообщения в транзакциях Ethereum (ETH) после кражи 612 миллионов долларов из протокола в августе 2021 года. Сессия вопросов и ответов показала, что злоумышленник взломал " ради удовольствия» и подумал, что «взлом кросс-чейнов — это круто».

Этот последний взлом является меньшим с точки зрения украденной суммы, и другие взломы протокола DeFi привели к перекачке сотен миллионов, как в случае с недавним взломом моста Ронина, когда злоумышленники украли более 600 миллионов долларов.

Другие известные эксплойты DeFi включают в себя криптографию на сумму 80 миллионов долларов, украденную у Qubit Finance в январе, когда злоумышленники обманули протокол, заставив поверить, что они внесли залог, что позволило им создать актив, представляющий криптографию с мостом.

Торговая площадка DeFi Deus Finance была использована в марте, когда хакеры манипулировали ценовой лентой пары стейблкоинов, что привело к неплатежеспособности средств пользователей, что принесло хакерам более 3 миллионов долларов.