Децентрализованная биржа (DEX) Clipper пояснила, что именно уязвимость в ее функции вывода средств стала причиной недавнего взлома ее протокола на сумму 450 000 долларов, а не утечка закрытого ключа, как предполагает «третья сторона».
В сообщении X от 1 декабря Клипер сообщил, что 1 декабря злоумышленник воспользовался двумя пулами ликвидности, заблокировав около 6% их общей стоимости. Он добавил, что другие пулы не были затронуты, и эксплойт прекратился.
«Были заявления третьих лиц, предполагающие утечку закрытого ключа», — написал Клипер. «Мы можем подтвердить, что это не так и несовместимо с дизайном и архитектурой безопасности Clipper».
«Возможность вывода средств в форме всего одного токена (связанная транзакция своп + депозит/вывод средств) отключена, поскольку, похоже, это была использованная функция», — добавили в компании.
Ранее соучредитель охранной фирмы Fuzzland Чаофан Шоу сообщил X, что Clipper был «взломан из-за уязвимости API (например, утечки закрытого ключа)», и добавил, что API, вероятно, имеет уязвимости, которые позволяют злоумышленнику подписывать запросы на ввод и вывод средств, а также вороватьпотратили больше средств, чем вложили.

Компания Clipper заявила, что проводит расследование инцидента, пообещала предоставить дальнейшую информацию и тем временем приостановила обмены и депозиты по своему протоколу. Вывод средств открыт, но они «должны быть в сочетании со всеми активами в пуле», добавлено в нем.
Связанный: Spectral Labs обнаруживает уязвимость синтаксиса и приостанавливает контракты
Проект написал, что он также начал отслеживать украденные средства в попытке вернуть их, и попросил эксплуататора связаться с проектом, если они «готовы поговорить».
Согласно отчету Immunefi от 28 ноября, взлом увеличил сумму криптовалюты на сумму более 1,48 миллиарда долларов, которая была украдена в 2024 году до конца ноября, что на 15% меньше по сравнению с аналогичным периодом прошлого года.
Создатель Clipper, компания Shipyard Software Inc., не сразу ответила на запрос о комментариях в нерабочее время.
С Шу связались для комментариев.








