Вижимка стріму: «Подробиці злому Allbridge пряме включення з Андрієм Великим»
Нещодавно на стримі в нас у гостях був СЕО проєкту Allbridge Андрій Великий. На жаль, привід не дуже радісний — міст Allbridge піддався злому на більш ніж $500,000. Але, Андрій все ж погодився вийти з нами в ефір і дав коментарі щодо ситуації, що склалася.
На стримі було порушено такі теми:
- Як сталася атака, який був вектор?
- Яка загальна сума збитків?
- Які плани щодо усунення вразливостей?
- Як такі випадки впливають на індустрію мостів?
Текстова витримка
Incrypted: Як твій стан? Чи є розуміння як це сталося?
Розуміння з’являється, почуваюся справді погано, зі зрозумілих причин. Це все почалося ще вночі. І це була безсонна ніч розборок. Вранці ми вирішували що робити далі, і готували заяву, потім готували перезапуск інтерфейсу, щоб більша частина користувачів отримала доступ до ліквідності. Думаю, на нас чекає ще довгий шлях розгрібання. Але принаймні, я зміг вийти на зв’язок і відповісти на запитання.
Incrypted: Розкажи, будь ласка, як це сталося? Який був вектор атаки?
Вектор атаки був пошук вразливості у формулі за якою працює міст. Хакер взяв багато грошей, багато мільйонів, закинув їх у пул, як провайдер ліквідності і зробив своп. Потім з іншого боку зробив приблизно таку саму операцію, але в іншому порядку. І співвідношення того, як багато коштів він туди влив, до того скільки грошей було відносно нього, зробило його власником цих пулів. І коли він прогнав усю операцію, то зміг забрати більше грошей, ніж вклав спочатку.
Причина цього, це дійсно, наша помилка, наше недопрацювання, тут немає жодних слів виправдання. Ми не передбачили поведінку моста в таких граничних значеннях. Хоча багаторазово зверталися до різних компаній і робили аудит. Але і наші зусилля, і наша експертиза, і аудит не вберегли від цього.
Частково, атакувальнику вдалося зробити цю атаку на наше бажання відкривати і верифікувати смарт-контракти. Буквально останній апдейт був за 2 дні до атаки і в мережі з’явилося більше інформації про наш код. Мені здається, що хакер прочитав, як ми працюємо, порахував скільки потрібно грошей і провів цю операцію.
Incrypted: хакер явно був не бідною людиною, або позичив у когось таку суму грошей?
Є дві адреси і є дві людини, які скористалися цією вразливістю:
- Перша адреса: маркована як хакер, який крав гроші в інших протоколів. Він завдав основної шкоди. Вкрадені кошти вивів у BNB і кинув на Tornado. Тобто він точно знав, що робити і намагається сховатися з цими грошима.
- Друга адреса: повторив цей вектор атаки, зміг дістати 150,000 BUSD і зараз вони просто лежать на цій адресі. Ми думаємо, що ця друга адреса може бути whitehat, який вступить із нами в комунікацію і поверне частину коштів.
Incrypted: тобто ці дві адреси ніяк не пов’язані між собою?
У них кардинально різна модель поведінки. Перша адреса провернула всю атаку відразу в своп, у BNB на Tornado. А інший хакер забрав BUSD і залишив у себе на гаманці. Мені здається, що це дві різні людини, з різними цілями.
Incrypted: у підсумку, яка сума збитків?
Сумарно, вивели близько $560,000. Загальний збиток може бути незначно більшим, через те, що були люди, які намагалися арбітражити. У нас економіка побудована таким чином, що «якщо десь сильно більше, десь сильно менше», то люди можуть робити свопи у зворотний бік і потім виводити кошти. Що відбувається конкретно в цьому випадку? Хакер викрадає величезний шматок грошей, на мосту виникає неефективність. На цьому хтось встиг вночі заробити. І зараз звідти всі заберуть ліквідність і залишиться менше ніж було після атаки. Однак ця цифра не відіб’ється на загальній сумі. У мене немає 100% відповіді, але звіт від PeckShield, в якому вони опублікували цифру $570 тис., близький до правди. Що ми зробили насамперед, коли розібралися? Ми погасили міст, щоб зупинити подальший відтік коштів. Хоча атака проходила на Binance Chain, але всі наші пули були скомпрометовані. Ми займалися тим, щоб дати можливість людям, які не постраждали, вивести свої гроші. Я також тримав свої гроші в пулах і ця ситуація зачепила мене не тільки як фаундера компанії, а й як людину, яка тримає там кошти. Наразі наша команда ставить у пріоритет користувачів і думаємо над планом повернення коштів. Цей план складається з трьох основних векторів. Перше, ми намагаємося зв’язатися з хакерами. Друге, ми зв’язуємося з правоохоронними органами, оскільки хакер, який відправив кошти на Tornado, засвітився в іншому проєкті.
Incrypted: правоохоронні органи якої юрисдикції?
Зі мною зв’язалися люди з кібербезпеки, які знають цю адресу. Чекаю від них якихось дій. Поки що не можу відповісти, в якій юрисдикції вона знаходиться, але припускаю, що це Китай. Ну і третє, що нас цікавить, як зробити так, щоб користувачі могли повернути свої гроші, навіть якщо хакери не з’являться. У мене поки що немає жодних обіцянок. Поки що я схиляюся до поведінки Bitfinex. Після того, як їх зламали, вони випускали LEO (токен), як компенсацію. Я не впевнений на 100%, що ми підемо таким же шляхом. Мені здається логічним перезапустити протокол, працювати далі, команда не отримуватиме нічого, а всі кошти йдуть на виплати.
Incrypted: є юрисдикція, яка захищає, а є та, яка хоче показати, що щось неправильно. Коли розподілятиметься прибуток від протоколу, то це більше схоже на security, ніж на щось інше. Що думаєш з цього приводу?
Ми проконсультуємося з юристами. Але наше головне завдання — це знайти спосіб, як повернути вкладникам їхні гроші. Якщо нам потрібно буде приймати якісь ризики, то ми будемо це робити, тому що хочемо виправити ситуацію.
Incrypted: на інших пулах не було слідів атаки. Це твоя гіпотеза, що всі пули скомпрометовані чи це дійсно так?
Я виходжу з того, що якби атака продовжилася, то всі пули постраждали б. Не можу на 100% сказати, що хакер міг провести цю операцію на Tron і Solana, які відрізняються, але дублювати міг її на інших мережах. Але є теорія, що хакер спеціально атакував BNB Сhain. Тому тут 50/50, або не захотів, або не встиг.
Incrypted: які плани щодо усунення вразливостей? Аудити, Bug Bounty?
Усе вище перераховане буде. Ми маємо зрозуміти, чому саме формула, за якою міст розраховував передачу ліквідності, дала збій. І чи можна її виправити.
Incrypted: як ти думаєш, наскільки такі випадки зачіпають індустрію мостів? Чи варто мостам шукати інші шляхи для роботи?
Емоційно, мені шкода, що ми зв’язалися з цією індустрією. Тому що мости постійно піддаються атакам. З огляду на те, що постраждали користувачі і ми хочемо знайти спосіб рішення для них. А найкраще ми вміємо будувати мости, тому відмовлятися від них повністю важко. Ну якщо до мене хтось прийде і скаже, що хоче займатися розробкою мостів і випустити новий міст, то я б порадив пошукати інші способи для ведення бізнесу.
Нагадаємо, що раніше ми вже проводили стрім «Будуємо мости з Allbridge» разом з Андрієм Великим. Переглянути його можна за посиланням.
