DeFi кросчейн-агрегатор Rubic втратив $1,41 млн унаслідок злому
- Експерти PeckShield Alert заявили про злам сервісу Rubic
- Невідомий скористався вразливістю і отримав доступ до активів користувачів в USDC
- Він уже вивів вкрадені 1100 ETH через мікшер Tornado Cash
Учора, 25 грудня, PeckShield Alert заявив про злом платформи Rubic. Зловмисник скористався вразливістю маршрутизатора, внаслідок чого вкрав 1100 ETH, які відразу ж перенаправив у мікшер Tornado Cash.
Як працює цей кросчейн-агрегатор?
Сервіс Rubic дає змогу юзерам обмінювати криптовалюту через функцію routerCallNative контракту RubicProxy. Перед погашенням проходить перевірка на предмет того, чи входить цільовий маршрутизатор до «білого списку» платформи.
Що сталося?
Судячи з усього, хакер скористався вразливістю сервісу, через що стався збій у роботі маршрутизатора. Протокол неправильно додав USDC до «білого списку», після чого хакер зміг вкрасти «монети» у юзерів, допущених до обміну через RubicProxy, використовуючи інтерфейс transferFrom.
Потім він конвертував USDC в ETH, які вивів через мікшер Tornado Cash. Відстежити ці кошти далі практично неможливо. Збиток склав $1,41 млн.
Команда Rubic прокоментувала ситуацію, зазначивши, що розслідування справи триває. Вони підтвердили версію з помилковою передачею адреси USDC до «білого списку» маршрутизатора, підкресливши, що цю можливість залишили для роботи з деякими провайдерами.
Раніше ми повідомляли про те, що хакери зламали гаманець Bitget. У результаті платформа втратила $6 млн.