Децентралізована біржа KyberSwap запропонувала 10% винагороди хакеру, який викрав 46 мільйонів доларів 22 листопада та залишив записку про переговори. Біржа хоче повернути 90% здобичі до 6 ранку UTC 25 листопада.
23 листопада KyberSwap попередив користувачів про те, що його рішення для ліквідності KyberSwap Elastic було зламано, і порадив їм вивести кошти. Тим часом, 22 листопада, хакер вкрав приблизно 20 мільйонів доларів США в Wrapped Ether (wETH), 7 мільйонів доларів у Wrapped Ether зі ставками Lido (wstETH) і 4 мільйони доларів у Arbitrum (ARB). Потім хакер перекачав здобич через кілька мереж, включаючи Arbitrum, Optimism, Ethereum, Polygon і Base.
Приховавши вкрадені кошти, хакер написав у ланцюжку повідомлення розробникам KbyerSwap, співробітникам, членам DAO та LP, у якому зазначено: «Переговори почнуться через кілька годин, коли я повністю відпочину».
Після дня мовчання з обох сторін KyberSwap відповів хакеру з вимогою повернути 90% викрадених коштів. Команда визнала навички хакера та запропонувала:
«На столі є винагорода, еквівалентна 10% коштів користувачів, взятих у них вашим хаком, для безпечного повернення всіх коштів користувачів. Але ми обоє знаємо, як це працює, тож перейдемо до суті, щоб ви й ці користувачі могли жити далі».
Якщо хакер не зможе повернути кошти або відповісти на KyberSwap до 6:00 UTC 25 листопада, «ви залишитеся в бігах», – сказав KyberSwap. Команда відкрита для подальшого обговорення з хакером електронною поштою.
За темою: KyberSwap оголошує про потенційну вразливість, повідомляє LP якомога швидше
Розбір недавнього злому KyberSwap, проведений експертом з децентралізованих фінансів (DeFi), показує, що зловмисник використовував «збій нескінченних грошей», щоб вичерпати кошти.
Засновник біржі Ambient Даг Колкітт пояснив, що зловмисник KyberSwap покладався на «складний і ретельно розроблений експлойт смарт-контракту», щоб здійснити атаку.
1/ Finished a preliminary deep dive into the Kyber exploit, and think I now have a pretty good understanding of what happened.
This is easily the most complex and carefully engineered smart contract exploit I've ever seen…
— Doug Colkitt (@0xdoug) November 23, 2023
Потім зловмисник повторив цей експлойт проти інших пулів Kyberswap у кількох мережах, зрештою здобувши 46 мільйонів доларів криптовалюти.
