Utnyttelsen av Voltage Finance
En hacker som var involvert i den $4,67 millioner store utnyttelsen av det desentraliserte finansieringslåneprotokollet Voltage Finance i 2022, har nå flyttet noe av den stjålne Ether til Tornado Cash etter en kort periode med inaktivitet. Blockchain-sikkerhetsfirmaet CertiK rapporterte i et innlegg på X den 6. mai at 100 Ether, verdt $182,783 til dagens kurser, ble overført fra en annen adresse brukt i utnyttelsen, som kan spores tilbake til hackeren.
Teknisk utnyttelse og konsekvenser
I mars 2022 utnyttet hackeren en «innebygd tilbakestillingsfunksjon» i ERC677-tokenstandarden, noe som gjorde det mulig å tømme plattformens lånepool gjennom et reentrancy-angrep, ifølge CertiK. Etter utnyttelsen rapporterte Voltage Finance at hackeren stjal ulike stablecoins og annen kryptovaluta, inkludert USDC, Binance USD (BUSD), Wrapped Bitcoin og Ethereum-tokens. Adressen som hackeren brukte for å overføre midlene til Tornado Cash hadde vært inaktiv siden november, med den siste transaksjonen som fant sted for 166 dager siden, ifølge data fra Etherscan.
Etterforskning og respons fra Voltage Finance
I forbindelse med etterforskningen av utnyttelsen i 2022 opplyste Voltage Finance at angriperens adresse ble flagget på Etherscan, og at børser ble bedt om å blokkere alle transaksjoner fra denne adressen. Det ble også gjort forsøk på å kontakte angriperen for å forhandle om en belønning for å returnere midlene. Voltage Finances staking-pooler ble rammet i mars, og den 18. mars ble protokollen på nytt angrepet, da deres Simple Staking-pooler ble kompromittert, ifølge en uttalelse fra protokollen på X. Totalt ble $322,000 stjålet i dette angrepet.
Belønningsforslag og ytterligere tap
Den 20. mars opplyste Voltage Finance i sin etterforskning at de tilbød angriperen en belønning på $50,000 for å returnere midlene, og at de muligens hadde identifisert en utvikler som jobbet med Simple Staking-poolene, som kan ha vært involvert.
«Selv om vi ikke har bekreftet om han er hackeren, har vi som en forholdsregel straks tilbakekalt hans tilgang og sendt politianmeldelser for å samarbeide med rettshåndhevelse og sentraliserte børser,»
uttalte de.
Kryptovalutatap i april
Samlet sett har kryptovalutatapene økt med 1,163% i april, hvor den største delen kom fra et enkelt tyveri av en eldre amerikansk persons lommebok. En hacker benyttet avanserte sosialingeniørmetoder for å stjele 3,520 Bitcoin, som var verdt $330,7 millioner. Ekskludert dette angrepet var kryptovalutatapene i april $34 millioner, en økning på 21% fra mars. Måneden så imidlertid også over $18 millioner returnert etter at hackeren bak det $7,5 millioner store utnyttelsen av den desentraliserte børsen KiloEx returnerte alle de stjålne midlene bare fire dager etter angrepet. ZKsync-foreningen gjenopprettet også $5 millioner verdt av stjålne tokens fra en sikkerhetshendelse den 15. april, som involverte deres airdrop-distribusjonskontrakt.
