Платформа DeFi втрачає 6 мільйонів доларів через порушення. Чи причетна до цього Північна Корея?

Платформа децентралізованих фінансів (DeFi) Delta Primes зазнала порушення безпеки в понеділок, що вплинуло на користувачів протоколу. Атака забрала з пулів проекту 6 мільйонів доларів і розслідується. Однак дослідники підозрюють, що це могло бути пов’язано з північнокорейськими хакерами та бути частиною більш масштабної схеми.

Хакери витягли 6 мільйонів доларів із протоколу DeFi

У понеділок вранці платформа кібербезпеки Cyvers Alerts повідомила спільноту про триваючу атаку на протокол запозичення DeFi Delta Primes. Початковий звіт показав, що система Cyvers виявила кілька підозрілих транзакцій за участю проекту в мережі Arbitrum.

Транзакції свідчать про те, що команда протоколу DeFi втратила закритий ключ, спочатку втративши 4,5 мільйона доларів від пулів DPUSDC, DPARB і DPBTCb. Підозріла адреса зливу негайно змінила USDC на Ethereum (ETH).

Протягом наступної години Сайверс розповів, що зловмисники, імовірно, змінили проксі-сервер, вказавши на шкідливу адресу. В інших звітах пояснюється, що «цей зловмисний контракт може збільшити суму депозиту хакера на всіх пулах».

Зловмисники витягли ще 1,48 мільйона доларів із пулів до того, як команда Delta Prime відновила контроль. Через дві години після перших повідомлень платформа DeFi звернулася до інциденту.

Відповідно до допису, DeltaPrime Blue з мережі Arbritum зазнала атаки та витягла 5,98 мільйона доларів. Команда підтвердила, що атака була спричинена скомпрометованим приватним ключем, а причина ще з’ясовується.

Команда Delta Prime також запевнила користувачів, що DetalPrime Red на Avalanche захищена від цієї атаки, уточнивши, що «впровадження тут охоплено виключно мультипідписами та холодними гаманцями (як і має бути)».

Крім того, у дописі стверджувалося, що ризик уже обмежено, запевняючи свою спільноту, що страховий пул протоколу DeFi покриє потенційні збитки:

Ризик обмежений, ми працюємо над поверненням активів, а страховий пул покриватиме будь-які потенційні збитки, якщо це можливо/необхідно. Крім того, ми шукаємо інші способи звести втрати користувачів до мінімуму.

Чи відповідальні північнокорейські хакери?

Незважаючи на швидку реакцію, деякі користувачі висловили стурбованість інцидентом. На запитання про це команда пояснила, що для DeltaPrime Blue не було блокувань часу:

Це саме те, для чого призначені блокування часу. Перехід від цього гарячого та незаблокованого власника до холодного власника з тимчасовим блокуванням мав бути зроблений на Arbitrum, як це було на Avalanche (і як інші початкові власники на Arbi)

Один член спільноти розкритикував команду за відсутність однакових заходів безпеки на DeltaPrime Blue і Red, заявивши, що помилці не було виправдання. Крім того, мережевий детектив ZachXBT припустив, що атака може бути пов’язана з більш масштабною проблемою.

Місяць тому Зак допоміг іншій команді зі зломом криптовалюти. Розслідування показало, що понад 25 проектів у цьому просторі несвідомо найняли кількох ІТ-працівників із Північної Кореї, використовуючи підроблені особи в якості розробників.

Сьогодні детектив з питань криптовалюти виявив, що протокол DeFi був серед команд, які він сповістив про північнокорейських ІТ-працівників у серпні. Він також зазначив, що метод, використаний для експлойту Delta Prime, схожий на той хак, якому він спочатку допомагав.

На момент написання цієї статті команда Delta Prime не розглядала можливий зв’язок. Проте було зазначено, що вони зосередяться на поверненні коштів і що «подія ще не закінчена».

Ethereum торгується на рівні 2307 доларів на тижневому графіку. Джерело: ETHUSDT на TradingView