Исследователи безопасности в сфере криптовалют обнаружили и нейтрализовали серьёзную уязвимость, затрагивающую тысячи смарт-контрактов. Это позволило предотвратить возможную потерю более чем $10 млн цифровых активов.
В четверг анонимный исследователь Deeberiroz из команды Venn Network сообщил в посте на X, что в течение нескольких месяцев в экосистеме существовал скрытый эксплоит. По его словам, злоумышленники использовали неинициализированные прокси-контракты ERC-1967, чтобы перехватывать контроль над ними до завершения настройки.
Уязвимость была выявлена во вторник, после чего началась 36-часовая операция по спасению средств. В неё вовлеклись несколько разработчиков, включая специалистов по безопасности Pcaversaccio, Dedaub и Seal 911. Им удалось оценить масштаб поражения и либо перевести, либо заблокировать уязвимые средства.
Источник: Deeberiroz
Злоумышленники внедряли вредоносные реализации контрактов
Ор Дадош, сооснователь и президент Venn Network, рассказал, что атакующие опережали публичные деплои контрактов и подставляли свои вредоносные версии.
«Самым простым языком — злоумышленник воспользовался определёнными случаями деплоя, чтобы встроить хорошо замаскированный бэкдор в тысячи контрактов», — пояснил Дадош, добавив, что злоумышленник мог взять под контроль эти контракты в любой момент.
После взлома у хакера был скрытый и невидимый в течение месяцев бэкдор. Как только контракт инициализировался, вредоносная активность становилась практически необнаружимой.
Исследователи смогли обойти злоумышленников, сохраняя информацию об уязвимости в секрете в ходе всей операции. Благодаря этому им удалось успешно защитить средства.
Deeberiroz сообщил, что нескольким протоколам децентрализованных финансов (DeFi) удалось вовремя заблокировать рискованные средства, пока злоумышленники не успели их вывести.
«Мы обнаружили десятки миллионов долларов, которые потенциально находились в зоне риска, — сказал Дадош. — Но ещё страшнее то, что эта уязвимость могла развиваться дальше, и значительная часть общего объема ликвидности (TVL), связанной с этими протоколами, могла оказаться под угрозой».
Berachain приостанавливает работу контракта, подозревают Lazarus
Среди пострадавших протоколов оказался Berachain. Его команда отреагировала на угрозу приостановкой работы одного из контрактов.
В четверг фонд Berachain признал наличие потенциальной уязвимости и временно приостановил выплату вознаграждений, переведя все средства в новый контракт.
«Никакие пользовательские средства не были потеряны или подверглись риску, — написал фонд Berachain в своём посте в X. — Возможность получения вознаграждений будет восстановлена в течение следующих 24 часов, как только будут созданы новые мёркл-деревья для распределения».
Дэвид Беншимол, исследователь безопасности из Venn Network, предположил, что за атакой может стоять известная северокорейская хакерская группа Lazarus. По его словам, используемый вектор атаки был крайне сложным и применялся на всех цепочках EVM.
Также он отметил, что злоумышленник, возможно, ждал удобного момента, чтобы атаковать более крупные цели, что указывает на организованный характер действий. При этом, по данным Беншимола, достоверно связь с Lazarus пока не подтверждена.
