Hackeren bag Voltage Finance-udnyttelsen aktiverer midler
En hacker, der var involveret i udnyttelsen af 4,67 millioner dollars fra den decentrale finansieringslåneprotokol Voltage Finance i 2022, har efter en kort periode uden aktivitet flyttet noget af den stjålne Ether til Tornado Cash. Blockchain-sikkerhedsfirmaet CertiK meddelte den 6. maj på X, at 100 Ether, nu værdiansat til 182.783 dollars, blev flyttet fra en adresse, der oprindeligt blev brugt til udnyttelsen og kan spores tilbage til hackeren.
Hvordan hackeren udnyttede protokollen
I marts 2022 udnyttede hackeren en “indbygget callback-funktion” i ERC677-tokenstandarden, hvilket gjorde det muligt for dem at tømme platformens lånepulje gennem et reentrancy-angreb, ifølge CertiK. Efter udnyttelsen rapporterede Voltage Finance, at hackeren havde stjålet forskellige stablecoins og andre kryptovalutaer, herunder USDC, Binance USD (BUSD), wrapped Bitcoin og Ethereum-token.
Inaktiv adresse og forsøg på tilbagebetaling
Adressen, som hackeren brugte til at overføre midlerne til Tornado Cash, havde været inaktiv siden november; den seneste transaktion fandt sted for 166 dage siden, ifølge Etherscan-data. I en post-mortem af 2022-udnyttelsen meddelte Voltage Finance, at angriberens adresse var blevet markeret på Etherscan, og børser var blevet bedt om at blokere enhver transaktion fra den adresse. Der blev også gjort forsøg på at kontakte hackeren for at forhandle en belønning for at returnere midlerne.
Yderligere angreb og sikkerhedsforanstaltninger
Desuden blev Voltage Finances staking-puljer ramt i marts, hvor de desværre oplevede endnu en udnyttelse den 18. marts. I alt blev 322.000 dollars stjålet. I sin post-mortem den 20. marts tilbød Voltage Finance angriberen en belønning på 50.000 dollars for at returnere midlerne og muligvis havde de identificeret en udvikler involveret i Simple Staking-puljerne, som kunne have været medvirkende.
“Selvom vi ikke har bekræftet, om han er hackeren, har vi af sikkerhedshensyn straks tilbagekaldt hans adgang og indsendt politianmeldelser for at samarbejde med retshåndhævelse og centraliserede børser,” sagde de.
Kryptotab stiger april måned
De samlede kryptotab steg med 1.163% i april, hvor hovedparten kom fra et enkelt tyveri fra en ældre persons tegnebog i USA; en hacker brugte avancerede social engineering-teknikker til at stjæle 3.520 Bitcoin til en værdi af 330,7 millioner dollars. Ekskluderet dette angreb, var kryptotabet i april 34 millioner dollars, en stigning på 21% fra marts.
Måneden så dog også over 18 millioner dollars returneret, da hackeren bag udnyttelsen af det decentrale vækslesteder KiloEx, som stjal 7,5 millioner dollars, returnerede alle de stjålne midler blot fire dage efter angrebet. ZKsync Association genvandt også tokens til en værdi af 5 millioner dollars fra en sikkerhedshændelse den 15. april, der involverede deres airdrop distributionskontrakt.
