Společnost ShadowFi o kybernetickém útoku informovala na Twitteru. Hackeři umožnili útok na systémy DeFi pomocí krypto-soukromého úsilí známého jako ShadowFi. Významná blockchainová bezpečnostní firma Peckshield bila na poplach a odhalila, že zneužití stálo přibližně 300 000 dolarů.
Jakým způsobem hackerský útok proběhl?
Podle ShadowFi útočník vyprázdnil její smlouvu o poolu likvidity a zanechal ji s nulovými prostředky. Peckshield tvrdí, že protokol byl zneužit kvůli chybám v tokenu SDF. Kvůli této zranitelnosti mohl kdokoli neoprávněně spálit token.
Peckshield dodal, že částka, na kterou si hacker přišel, činila přibližně 300 000 dolarů, tedy 1 078 000 BNB. Hacker byl společností zabývající se bezpečností blockchainu pojmenován NeorderDAO. Mluvčí společnosti uvedl, že jméno hackera bylo nalezeno v interní databázi společnosti.
Opět Tornado Cash
Peckshield tvrdí, že hackeři uložili uloupené prostředky do Tornado Cash. Společnost Tornado Cash způsobila sektoru kryptoměn více škody než užitku. Zločinci odeslali finanční prostředky z napadených systémů pomocí šifrovacího softwaru.
Od roku 2019 bylo pomocí tohoto programu z mnoha kryptoburz vypráno téměř 7 miliard dolarů. Dokonce i známý severokorejský hackerský gang Lazarus Gang využil Tornado Cash k převodu přibližně 455 milionů dolarů. A hackeři pomocí Tornado Cash ukradli téměř 96 milionů dolarů z burzy Harmony Bridge.
#PeckShieldAlert PeckShield has detected @ShadowFi_ suffered an exploit possibly due to a vulnerability of SDF token which allows the token can be burnt by anybody, the exploiter grabbed ~1,078 $BNB (~$301k). $SDF has dropped 98.5%https://t.co/O8ugq2sU3p pic.twitter.com/Ljg3RfkGFl
— PeckShieldAlert (@PeckShieldAlert) September 2, 2022
Podobně se díky aplikaci na ochranu soukromí podařilo převést 7,8 milionu dolarů společnosti Nomad. Dne 1. září se KyberSwap stal terčem útoku, při kterém vznikla škoda přibližně 265 000 dolarů. Společnost KyberSwap hackerský útok přiznala, i když uvedla, že prověřuje, co se stalo.
Poté společnost slíbila hackerovi odměnu ve výši 10 % za navrácení uloupených prostředků. Po útoku na KyberSwap se pozornost hackerů obrátila na protokol ShadowFi DeFi.
The exploiter is labeled as a NeorderDAO scammer in our internal database. The stolen funds already into TornadoCash pic.twitter.com/REEn5fuJ4l
— PeckShieldAlert (@PeckShieldAlert) September 2, 2022
Kvůli jeho rozsáhlému zneužívání postavil Úřad pro kontrolu zahraničních aktiv (OFAC) amerického ministerstva financí minulý měsíc Tornado Cash mimo zákon. OFAC vyjádřil nesouhlas s rolí programů na ochranu soukromí při kompromitaci několika kryptografických sítí. Kvůli zákazu musely renomované webové stránky přestat Tornado Cash hostovat.
Attacker exploits bug in ShadowFi to empty $300,000 liquidity pool
September 1, 2022https://t.co/hq33VyYcM6 pic.twitter.com/dLy88sir08
— web3 is going just great (@web3isgreat) September 2, 2022
Navzdory zákazu hackeři program nadále využívají k převodům finančních prostředků. Někteří členové bitcoinové komunity rozhodnutí OFAC zakázat Tornado Cash kritizovali už při jeho prvním oznámení. Podniky, které se řídily příkazy OFAC a přestaly Tornado Cash přijímat, se staly terčem ostré kritiky.
Nicméně díky pokračujícímu používání této anonymizační aplikace kyberzločinci se rozhodnutí OFAC o jejím zákazu zdálo být rozumné.
ShadowFi zaručuje, že problém vyřeší
Stále častěji se úřady a zúčastněné strany v bitcoinovém odvětví ocitají v roli obětí hackerů na kryptoburzách. Americké regulační orgány zařadily Tornado Cash do svého zákazu, aby zalepily konkrétní bezpečnostní díry, které hackeři využívají.
Nicméně Tornado i přes zákaz nadále funguje, protože zneuživatel posledního použití kryptomixu ShadowFi dosud nebyl dopaden. Zprávy uvádějí, že exploiter před přechodem na Tornado vyměnil asi 8,4 tokenů SDF za 1078 BNB.
Na druhou stranu ShadowFi dokazuje, že skupina je odhodlána pracovat na řešení, které bude pro zákazníky přínosné. Uživatelé jsou žádáni o trpělivost, zatímco tým na problému pracuje, jak je uvedeno v protokolu.
Závěr
Povahu kryptoměn někteří vyzdvihují a jiní kritizují. Co si o podobných případech myslíte vy? Bylo správně, že Tornado Cash bylo postaveno mimo zákon? Přidejte se také na náš oficiální discord server KRYPTOMAGAZIN CZ.