Исследователи в области криптобезопасности обнаружили и нейтрализовали критическую угрозу, затрагивающую тысячи смарт-контрактов, потенциально предотвратив кражу более чем на $10 миллионов в криптовалюте.
В четверг анонимный исследователь Venn Network, Deeberiroz, опубликовал в X сообщение о том, что бэкдор-эксплойт незаметно угрожал экосистеме на протяжении нескольких месяцев. Исследователь сообщил, что эксплойт был направлен на неинициализированные прокси-контракты ERC-1967, позволяя злоумышленникам перехватывать контроль над контрактами до того, как они были должным образом настроены.
Venn Network обнаружила уязвимость во вторник, что привело к 36-часовой спасательной операции с участием нескольких разработчиков, включая исследователей в области безопасности Pcaversaccio, Dedaub и Seal 911, которые совместно оценили затронутые контракты и переместили или обезопасили уязвимые средства.
Злоумышленники внедрили вредоносные реализации контрактов
Or Dadosh, сооснователь и президент Venn Network, рассказал Cointelegraph, что злоумышленник совершил фронтраннинг при развертывании контрактов и внедрил вредоносные реализации.
«Простыми словами, злоумышленник использовал определенные развертывания, что позволило ему внедрить хорошо спрятанный бэкдор в тысячи контрактов», — сказал Dadosh Cointelegraph, добавив, что злоумышленник мог получить контроль над уязвимыми контрактами в любой момент.
После атаки злоумышленник имел необнаруженный, не удаляемый бэкдор на протяжении нескольких месяцев. После инициализации контракта вредоносная активность становилась практически невидимой.
Исследователям в области безопасности удалось перехитрить злоумышленников, держа уязвимость в секрете во время операции, что привело к успешному спасению.
Deeberiroz сообщил, что несколько протоколов децентрализованных финансов (DeFi) смогли обезопасить средства, находящиеся под угрозой, в ходе операции, предприняв действия до того, как злоумышленники смогут вывести активы.
«Мы обнаружили десятки миллионов долларов, которые потенциально находились под угрозой», — сказал Dadosh. «Но еще страшнее, что это могло продолжать расти, и большая часть общей TVL [общей заблокированной стоимости] протоколов могла оказаться под угрозой».
Berachain приостановил контракт, подозревается Lazarus
В число затронутых протоколов вошел Berachain, команда которого отреагировала, приостановив затронутый контракт. В четверг, Фонд Berachain признал потенциальную уязвимость и перенес средства с приостановленного контракта на новый контракт.
«Средства пользователей не находятся под угрозой и не были потеряны», — написал Фонд Berachain в X. «Забрать вознаграждения снова станет возможным в течение следующих 24 часов, поскольку merkle для распределения будут воссозданы».
Исследователь в области безопасности Venn Network, David Benchimol, подозревает, что в атаке участвовала печально известная северокорейская хакерская группа Lazarus. Benchimol рассказал Cointelegraph, что «вектор атаки был очень сложным и развернут на каждой EVM-цепочке».
