Децентрализованная биржа KyberSwap предложила вознаграждение в размере 10% хакеру, который 22 ноября украл 46 миллионов долларов и оставил записку о переговорах. Биржа хочет, чтобы 90% добычи было возвращено к 6 утра UTC 25 ноября.
23 ноября KyberSwap предупредил пользователей о том, что ее решение по обеспечению ликвидности KyberSwap Elastic было скомпрометировано, и посоветовал им вывести средства. Тем временем, 22 ноября хакер украл примерно 20 миллионов долларов в обернутом эфире (wETH), 7 миллионов долларов в обернутом эфире с ставкой Lido (wstETH) и 4 миллиона долларов в Arbitrum (ARB). Затем хакер перекачал добычу через несколько цепочек, включая Arbitrum, Optimism, Ethereum, Polygon и Base.
Спрятав украденные средства, хакер написал сообщение в сети, адресованное разработчикам, сотрудникам KbyerSwap, членам DAO и LP, в котором говорилось: «Переговоры начнутся через несколько часов, когда я полностью отдохну».
После дневного молчания с обеих сторон KyberSwap ответил хакеру с просьбой вернуть 90% украденных средств. Команда признала навыки хакера и выдвинула предложение:
«На столе объявлена награда, эквивалентная 10% средств пользователей, отобранных у них в результате вашего взлома, за безопасное возвращение всех средств пользователей. Но мы оба знаем, как это работает, так что давайте перейдем к делу, чтобы вы и эти пользователи могли продолжать жить дальше».
Если хакер не сможет вернуть деньги или ответить на KyberSwap до 6 утра по всемирному координированному времени 25 ноября, «вы останетесь в бегах», — заявили в KyberSwap. Команда открыта для дальнейшего обсуждения с хакером по электронной почте.
Связанный: KyberSwap объявляет о потенциальной уязвимости и просит LP выйти как можно скорее
Анализ недавнего взлома KyberSwap экспертом по децентрализованным финансам (DeFi) предполагает, что злоумышленник использовал «глюк с бесконечными деньгами» для вывода средств.
Основатель Ambient Exchange Дуг Колкитт объяснил, что злоумышленник KyberSwap для проведения атаки полагался на «сложный и тщательно разработанный эксплойт смарт-контракта».
1/ Finished a preliminary deep dive into the Kyber exploit, and think I now have a pretty good understanding of what happened.
This is easily the most complex and carefully engineered smart contract exploit I've ever seen…
— Doug Colkitt (@0xdoug) November 23, 2023
Затем злоумышленник повторил этот эксплойт против других пулов Kyberswap в нескольких сетях, и в конечном итоге ему сошло с рук хищение криптовалюты на сумму 46 миллионов долларов.
