Децентралізована біржа (DEX) Clipper пояснила, що нещодавній злом її протоколу вартістю 450 000 доларів спричинила вразливість у її функції виведення, а не витік приватного ключа, як припускає «третя сторона».
У публікації X від 1 грудня Clipper заявив, що 1 грудня зловмисник використав два пули ліквідності, які заблокували близько 6% від загальної вартості. Він додав, що інші пули не постраждали, і експлойт закінчився.
«Були заяви третьої сторони про витік приватного ключа», — написав Кліппер. «Ми можемо підтвердити, що це не так і не відповідає дизайну та архітектурі безпеки Clipper».
«Можливість виводу у формі лише одного токена (комплексний обмін + транзакція депозиту/виведення) вимкнено, тому що, здається, це була функція, яка використовувалася», — додали в ньому.
Раніше співзасновник охоронної фірми Fuzzland Чаофан Шоу написав у X, що Clipper було «зламано через уразливість API (наприклад, витік приватного ключа)», і додав, що API, ймовірно, мав уразливості, які дозволяли зловмисникам підписувати запити на депозит і зняття коштів і вкрадативиділили більше коштів, ніж вони вкладали.
Clipper заявив, що проводить розслідування інциденту та пообіцяв надати подальші оновлення, а тим часом призупинив свопи та депозити у своєму протоколі. Зняття коштів відкриті, але вони «мають бути в сукупності всіх активів у пулі», додає він.
За темою: Spectral Labs виявляє вразливість синтаксису, призупиняє контракти
Проект написав, що він також почав відстежувати вкрадені кошти, намагаючись повернути їх, і попросив експлуататора зв’язатися з проектом, якщо вони «бажають поговорити».
Відповідно до звіту Immunefi від 28 листопада, цей злом збільшив криптовалюту на суму понад 1,48 мільярда доларів, яку було вкрадено у 2024 році до кінця листопада, що на 15% менше порівняно з тим самим періодом минулого року.
Творець Clipper, компанія Shipyard Software Inc., не відразу відповіла на запит про коментарі поза звичайним робочим часом.
З Шоу звернулися за коментарем.
