Платформа для торговли криптовалютой Hashflow заверила, что пострадавшие пользователи будут «восстановлены» после эксплойта, в результате которого с платформы были удалены цифровые активы на сумму не менее 600 000 долларов.
14 июня компания Peckshield, занимающаяся безопасностью блокчейн, сообщила о продолжающейся проблеме с торговой платформой Hashflow.
«Похоже, существует проблема, связанная с одобрением», — отметила фирма, сообщив об убытках в размере около 600 000 долларов США в Arbitrum (ARB) и Ethereum (ETH).
Пару часов спустя Hashflow предупредил пользователей, что они решают текущую ситуацию, связанную с утверждением контрактов, отмеченную Peckshield, добавив:
«Все пользователи, включающие затронутых ~ 600 000 долларов, будут восстановлены».
Фирма, которая предоставляет межсетевые свопы в рамках своих торговых услуг, добавила, что ее децентрализованная биржа «никоим образом не пострадала и остается полностью работоспособной».
We’re addressing the current situation flagged by @peckshield. Please be assured that:
1. All users comprising the ~$600K affected will be made whole.
2. The Hashflow DEX was in no way impacted and remains fully operational.We will share a detailed post mortem once complete.
— hashflow (@hashflow) June 14, 2023
Peckshield предположил, что хакер, выполнивший эксплойт, может быть хакером в белой шляпе, поскольку они предоставили контракт с функцией восстановления вместе со вторым вариантом пожертвования.
Hashflow обновил свой статус 15 июня, предоставив инструкции по восстановлению для тех, кто пострадал от эксплойта, который затронул Ethereum, Arbitrum, Avalanche, BNB Chain и Polygon.
Пользователям сказали, что они должны «отозвать одобрение, прежде чем восстанавливать средства».
Есть два варианта возмещения средств: первый — для всех средств, а второй — пожертвовать 10% предполагаемому хакеру в белой шляпе, который воспользовался уязвимостью, но при этом предотвратил дальнейшие потери.
Энтузиаст DeFi «YannickCrypto» подробно описал процесс, отметив, что «белая шляпа» проверила контракт, но предупредил, что пользователи должны отменить допуски токенов к амортизированным контрактам, иначе их снова взломают.
Hey @hashflow, it seems like you got exploited from 0xddb19a1bd22c53dac894ee4e2fbfdb0a06769216. https://t.co/oplaYWY4Bn
There are two withdraw functions, one with 10% and one without bribe!
Find out how you can withdraw your stolen funds in next tweet
— yannickcrypto.eth (@YannickCrypto) June 14, 2023
По данным CoinGecko, собственный токен Hashflow, HFT, упал на 7% за 12 часов после инцидента, упав до 0,338 доллара на момент написания статьи. Токен остается на 90% ниже своего рекордного максимума в ноябре 2022 года в размере 3,61 доллара.
Связанный: проекты типа DeFi подверглись наибольшему количеству атак в 2022 году: отчет
Это второй эксплойт DeFi на этой неделе, поскольку 12 июня кредитная платформа Sturdy Finance потеряла Ethereum на сумму около 800 000 долларов. По словам Peckshield, опубликовавшего предупреждение, уязвимость была связана с манипулированием ценами.
Sturdy Finance предложила эксплуататору вознаграждение в размере 100 000 долларов за возврат средств.