Децентрализираната апликација FixedFloat претрпува хакирање од 26 милиони долари

Пред неколку дена, децентрализираната не-KYC апликација FixedFloat претрпе хакерски напад врз својата инфраструктура, што резултираше со загуби од 26 милиони долари.

Според компанијата за ревизија и блокчејн анализа PeckShield, украдени се вкупно 1728 ETH и 409 BTC: дел од парите потоа биле испрани со поминување низ децентрализирани миксери и трансакции со coinjoin.

FixedFloat изјави дека корисничките средства се безбедни и дека хакирањето не ја загрозило финансиската стабилност на апликацијата за размена на крипто.

Сите детали подолу.

Ранливост во структурата на FixedFloat: децентрализираната апликација претрпува хакирање од 26 милиони долари во BTC и ETH

Во сабота, 17-ти февруари, децентрализираната апликација за размена на криптовалути FixedFloat беше жртва на хакирање што предизвика загуби од 26 милиони долари во БТК и ЕТХ.

Сè започна кога неколку корисници пријавија дека доживеале замрзнати трансакции и дека им недостасуваат средства на нивните сметки; набргу потоа, преку анализа на синџирот беше откриено дека неколку милиони долари беа исцедени во разни непризнаени надворешни паричници.

Иако сè уште не е јасно како се случил нападот, тимот на FixedFloat веднаш објасни дека станува збор за „мал технички проблем“ во моментот на инцидентот.

Истиот најави дека средствата ќе им бидат вратени на корисниците на платформата и дека хакирањето не ја загрозило финансиската стабилност на компанијата.

Како и да е, во моментот на пишување на статијата децентрализираната апликација останува неактивна и во режим на одржување, но ќе биде повторно отворен во неодредена иднина, веднаш штом ќе се увери дека ќе биде безбеден за употреба.

Еве што беше објавено на X од Fixed FixedFloat по хакирањето:

Децентрализираната размена е позната по своите услуги кои не се KYC, за кои не е потребна регистрација според класичната процедура „Запознај го твојот клиент“, што овозможува конкурентна предност во однос на приватноста.

Нудејќи можност да останете анонимни и дозволувајќи трансакции во Bitcoin преку Lightning Network на своите клиенти, FixedFloat привлече широк опсег на корисници од Соединетите Држави.

Делумно, карактеристиката на анонимност и недостатокот на внатрешни контроли го фаворизираа злонамерниот хакерски напад, кој не мораше да ги дава своите лични податоци за пристап до апликацијата.

Според компанијата за сајбер безбедност и анализа на блокчејн PeckShield, кражбата изнесува точно 1728 ETH, вредна 4.85 милиони долари и 409 BTC, во вредност од речиси 21 милион долари.

Поголемиот дел од етерот од хакирањето е веќе префрлен во широк опсег на децентрализирани размени на блокчејнот Ethereum.

FixedFloat објави дека соработуваат со органите за спроведување на законот, блокчејн форензичките компании и берзите за криптовалути за да ги пронајдат хакерите, кои сè уште не ја контактирале размената. 

Компанијата изјави дека ќе ги исполни сите обврски за плаќање штом ќе продолжи со работа и е сигурно дека размената ќе биде безбедна за повторно користење.

Дел од украдените БТК од хакирањето беа рециклирани преку операција на coinjoin

Додека ETH украден од хакирањето на децентрализираната апликација FixedFloat лесно се премести на десетици различни адреси и циркулира низ блокчејнот Ethereum, БТК кои се дел од истиот плен ќе се рециклираат со coinjoin трансакции.

Потсетуваме дека coinjoin е тип на операција на Bitcoin, теоретизирана за прв пат од Грегори Максвел во 2013 година, во која неколку плаќања на БТК се комбинираат во една трансакција, што го отежнува одредувањето на кои адреси колкав износ потрошиле.

Слично на она што се случува со децентрализираните миксери како Tornado Cash, трансакциите со coinjoin се комбинираат заедно за да се направи една трансакција во заеднички базен, од кој депонентите потоа можат да ги бараат назад своите „здружени“ и анонимни средства.

Во нашиот случај, хакерот експлоатираше еден вид миксер кој користи метод за зголемување на приватноста сличен на coinjoin, каде што веќе се разменети неколку БТК.

Конкретно, можеме да потврдиме дека според она што го објасни истражувачот web3 на X, дел од украдените средства, поточно 2.7544 BTC, се влеале во адресата

34F2Jjmzo4N3kz3zVVBbqr3nn6NkvQvNjA, која припаѓа на CEX TradeOgre.

Овие пари би можеле да претставуваат провизија што ја платил злонамерниот актер за користење на миксер, кој Изгледа да се поврзе со апликацијата Whirpool која имплементира напреден систем за приватност.

Се верува дека 166 од 409 BTC украдени од децентрализираната апликација FixedFloat веќе поминале низ миксер Whirpool.

Инцидентите како овој се вообичаени во криптографските средини, особено во оние кои не се KYC кои на некој начин ја штитат анонимноста на хакерите.

Според форензичката компанија за истражување на синџирот Chainalysis, и покрај бројните инциденти регистрирани во 2023 година хакерите и експлоатите се намалуваат во споредба со претходната година, кога имаше бум на кражби.

Севкупно, вредноста на хакираните средства е намалена за околу 54.3% во споредба со 2022 година со вкупна украдена сума од приближно 1.7 милијарди долари, главно произлезени од хакерите на DeFi апликациите.