קראָס-קייט דיסענטראַלייזד פינאַנצן (DeFi) פּראָטאָקאָל רוביק איז קאַמפּראַמייזד, ריזאַלטינג אין געלט סטאָרד אין די אַדרעס פון זיין באַניצער זענען סיפאַנד אויס און טראַנספערד צו די כאַקערז.
דעם 25סטן דעצעמבער, האָט רוביק פּראָטאָקאָל געמאָלדן אַז איינער פון אירע רוטינג קאַנטראַקץ איז קאַמפּראַמייזד און אַלע קאַנטראַקץ וואָלט זיין סטאַפּט ביז די סיטואַציע איז גאָר פארשטאנען. די מעלדן לייענט:
די קריייטערז פון דעם פּראָטאָקאָל אויך אַדווייזד זייער יוזערז צו אָפּזאָגן קאָנטראַקט דערלויבעניש דורך די revoke.cash געצייַג. א טוויטטער פאָדעם דורך בלאַקכיין סייבערסעקוריטי פירמע PeckShield דערקלערט אַז אַ וואַלנעראַביליטי אין די רוביק פּראָטאָקאָל געפֿירט צו אַ אָנווער פון $ 1.41 מיליאָן ווערט פון געלט גלייַך פון די וואָלאַץ וואָס אָטערייזד זייַן קלוג קאַנטראַקץ.
די עקספּלויטער אַדרעס באקומען די געלט פון די וניסוואַפּ דיסענטראַלייזד וועקסל (DEX) אין טראַנזאַקשאַנז ינוואַלווינג די וסד קאָין (וסדק) סטאַבילקאָין. PeckShied דערקלערט אַז די כאַק איז געווען מעגלעך רעכט צו מיסטייקאַלי אַדינג USDC אין געשטיצט ראָוטערס. דערצו, "אַ מאַנגל פון וואַלאַדיישאַן אין RuterCallNative" אויך ערלויבט בייזע קאָנטראַקט נוצן.
א שנעל קלוג אָפּמאַך אַנאַליסיס מיט די הילף פון טשאַטגפּט סאַגדזשעסץ אַז די RuterCallNative פונקציע כּולל פילע פּאָטענציעל וואַלנעראַביליטיז, אַרייַנגערעכנט ינוואַלאַדייטאַד אַרייַנשרייַב פֿאַר די "_params" און "_data" פּאַראַמעטערס. די קען לאָזן אַ אַטאַקער צו פאָרן בייזע אַרייַנשרייַב וואָס קען רעזולטאַט אין פאַלש אָדער אַנינטענדיד נאַטור.
דערצו, די "_גאַטעווייַ" פּאַראַמעטער דורכגעגאנגען צו די פֿונקציע איז אַנריסטריקטיד, פּאַטענטשאַלי אַלאַוינג אַ אַטאַקער צו שאַפֿן אַ קאָנטראַקט און האָבן עס עקסאַקיוטאַד דורך די RubicProxy קאָנטראַקט.
טאקע דער אַטאַקער דיפּלויד אַ מנהג קלוג קאָנטראַקט וואָס איז געניצט אין די באַפאַלן. די דעקאָדעד ביטעקאָדע ווייזט די 337 שורות פון קאָד וואָס ערלויבט די אַטאַקער צו דורכפירן די באַפאַלן ווי יפישאַנטלי ווי מעגלעך.
דער אַדרעס פון די העקער באקומען ערשטער אַ 1,161.55 עטהערעום (ETH) אַריבערפירן און נאָך 26.88 ETH אַריבערפירן, ביידע פֿון די Uniswap פּראָטאָקאָל סיפאָנינג אויסשליסלעך USDC און יקסטשיינדזשינג עס פֿאַר אלנגעוויקלט עטהערעום (WETH). אַלע דעם WETH איז שפּעטער געשיקט צו אַן אויף-קייט מיקסער און סאַנגקשאַנד ענטיטי טאָרנאַדאָ קאַש צו אַנאָנימיזירן די קראַנק-באַקומען געלט.
אָנ-קייט אַנאַליסיס ווייזט אַז $ 1.45 מיליאָן ווערט פון ינקאַמינג טראַנזאַקשאַנז געשיקט צו די מאַטבייע אַנאָנימיזאַטיאָן דינסט ערידזשאַנייטאַד פון די העקער ס אַדרעס - אויף אַ גאַנץ ינקאַמינג ווערט פֿאַר די דינסט פון וועגן $ 2.9 מיליאָן. אין אנדערע ווערטער, וועגן האַלב פון די אַסעץ געשיקט צו די מיקסער הייַנט זענען געשיקט דורך די עקספּלויטער.
כאָטש די געלט פון די העקער זענען אַזאַ אַ באַטייטיק טייל פון די ינקאַמינג טראַנסאַקטיאָן באַנד פון די סערוויס, זייער אַנאָנימיטי איז נאָך היפּש. די אַוועקלייגן קען זיין צווישן די $ 2 מיליאָן ווידדראָאַלז פון טאָרנאַדאָ קאַש פּראַסעסט הייַנט אָדער צווישן די $ 174 מיליאָן ווערט פון אַסעץ נאָך דאַפּאַזיטיד אין די קלוג קאָנטראַקט.
טאָרנאַדאָ קאַש איז אַ איצט ומלעגאַל דעפי פּראָטאָקאָל וואָס אַלאַוז ניצערס צו דורכפירן אַנאָנימע באַנוצערס טראַנספערס אויף די עטהערעום בלאָקטשיין. דער פּראָטאָקאָל ניצט נול-וויסן פּרופס (ZK-proofs) צו באַהאַלטן די אַרייַנשרייַב און רעזולטאַט אַדרעס פון טראַנזאַקשאַנז. עס איז שווער פֿאַר דריט פּאַרטיעס צו באַשליסן די אידענטיטעט פון די פּאַרטיעס ינוואַלווד אין די טראַנסאַקטיאָן אָדער די ספּעציפיש ציל פון די אַריבערפירן.
טאָרנאַדאָ קאַש איז אַן אָפֿן-מקור פּרויעקט געבויט אויף שפּיץ פון די עטהערעום בלאָקטשיין און צוטריטלעך צו ווער עס יז מיט אַן עטהערעום בייַטל. יוזערז קענען ינטעראַקט מיט די טאָרנאַדאָ קאַש קאָנטראַקט ניצן זייער עטהערעום בייַטל אָדער אַ וועב צובינד נאָך בנימצא דורך די דיסענטראַלייזד האָסטינג דינסט ינטערפּלאַנעטאַרי טעקע סיסטעם (IPFS). זיי קענען דורכפירן אַנאָנימע באַנוצערס טראַנספערס פון ETH אָדער טאָקענס לויט די ERC-20 נאָרמאַל דורך שיקן זייער געלט צו די טאָרנאַדאָ קאַש קאָנטראַקט און צוריקציען זיי צו אַ נייַע אַדרעס.
די נייעס גייט ווייטער ריפּאָרץ אַז צפון קאָרעיִש כאַקערז האָבן סטאָלען אַרום $1.2 ביליאָן אין קריפּטאָקוררענסי און אנדערע ווירטואַל אַסעץ אין די לעצטע פינף יאָר. רובֿ פון די כאַקס געטראפן אין 2021 אַליין.
מקור: https://crypto.news/rubic-dex-aggregator-hack-leads-to-1-4m-of-user-funds-stolen/