Протокол стейкинга Bedrock столкнулся с серьезной проблемой безопасности, позволившей злоумышленникам обменивать Ethereum на Universal Bitcoin (обернутую версию биткоина на платформе) по курсу 1:1, несмотря на разницу в цене более $60 000.
В результате эксплойта, который уже «устранен», из протокола было выведено около $2 000 000, в основном из пулов ликвидности децентрализованных бирж. Команда Bedrock заявила, что работает над возвратом утраченных средств и «дорабатывает» план компенсации пользователям.
Ночная атака
Компания Dedaub, отвечающая за безопасность протокола, уведомила Bedrock об уязвимости за несколько часов до атаки. Однако большая часть команды в это время спала и не смогла оперативно отреагировать. Уязвимость возникла в результате обновления контракта, проведенного за 36 часов до атаки, что привело к несоответствию обменного курса между Ethereum и биткоином.
Bedrock пока не ответил на запрос Decrypt о причинах отсутствия аудита контракта перед его запуском.
Оценка потерь
В некотором смысле протоколу повезло, что было выведено «всего» $2 000 000. По словам Dedaub, эксплойт представлял собой «уязвимость бесконечной эмиссии» токена uniBTC, что теоретически позволяло вывести все средства протокола. Однако благодаря сотрудничеству с группой белых хакеров Seal 911 удалось минимизировать потенциальные убытки, приостановив работу сторонних протоколов, подверженных риску.
«Мы хотим сообщить, что команда Bedrock знает о проблеме безопасности с uniBTC. Проблема устранена, средства в безопасности», — написал Bedrock в соцсети X более чем через шесть часов после того, как информация об уязвимости появилась в сети. «На данный момент от нашего сообщества не требуется никаких дополнительных действий. Будьте уверены, что все uniBTC, принадлежащие пользователям, в безопасности».
На момент написания статьи биткоин стоит $66 050, а Ethereum — всего $2 670. Это означает, что за каждый обменянный ETH злоумышленник мог получить прибыль $63 380.
▼
Самые интересные и важные новости на нашем канале в Telegram
