Ma reggel ismét kihasználak egy DeFi alkalmazásban rejlő kiskaput. A kár elérheti a 24 millió dollárt, de a végjáték tartogathat még meglepetéseket.
[banner id=”77461″ caption_position=”bottom” theme=”default_style” height=”auto” width=”auto” show_caption=”1″ show_cta_button=”1″ use_image_tag=”1″]
Az áldozat ezúttal a Harvest Finance volt. A támadó 50 millió dollárnyi gyorskölcsönnel (flash loan) egy másik decentralizált appból, a Curve-ből vásárolt stabil coinokat, majd ezeket a Harvest BTC/USDT/USDC piacainak manipulálására használta fel. Az akció eredményeként több stabil coint volt képes kiutalni a Harvest oldaláról, mint amennyit beutalt oda és ezt többször is megismételve 7 perc alatt 24 millió dollárt szerzett magának.
Az első komolyabb flash loan hacket idén februárban hajtották végre, aminek részleteiről mi is beszámoltunk:
Ami a Harvest esetét még érdekesebbé teheti, az a csapat által közzétett üzenet, miszerint nyomon tudták követni az ellopott pénz útját, ami szerintük egy “kriptós körökben ismert személy” számláján kötehetett ki.
In addition to the BTC addresses which hold the funds, there is now a significant amount of personally identifiable information on the attacker, who is well-known in the crypto community.
We are putting out a 100k bounty for the first person or team to reach out to the attacker
— Harvest (@harvest_finance) October 26, 2020
Mint írják, 100 000 dollárt ajánlanak fel neki, vagy annak, akik ráveszi az illetőt az ellopott értékek visszautalására. A tettes kilétét egyelőre azért nem hozzák nyilvánosságra, mert a megbocsátással és az anonimitás biztosításával nagyobb esélyt látnak a pénz visszaszerzésére, mintha lelepleznék a kilétét
“The attacker” sent some funds back because they’re such nice people. If this isn’t strong evidence that “the attacker” and “the devs” are the same then I don’t know what is. https://t.co/lNcE2DkcA6
— Riccardo Spagni (@fluffypony) October 26, 2020
Mivel a Harvest Finance fejlesztőinek kiléte szintén nem ismert, vannak akik egyenesen csapat tagjait gyanúsítják a támadással és a színjáték megszervezésével. Közéjük tartozik a Monero egykori vezető fejlesztője, Riccardo Spagni is. Gyanúját az keltette fel, hogy nem sokkal a hack után a támadó 2.5 millió dollárnak megfelelő stabil coint küldött vissza a Harvest Finance wallet címére, ami meglehetősen szokatlan cselekedetnek számít. Az oldalon egyébként jelenleg is 575 millió dollárnak megfelelő kamatozó letét található.