Cross-chain decentralized finance (DeFi) protokol Rubic byl kompromitován, což vedlo k tomu, že prostředky uložené na adresách jeho uživatelů byly vysávány a převedeny hackerům.

25. prosince protokol Rubic oznámil, že jedna z jeho směrovacích smluv byla ohrožena a všechny smlouvy budou zastaveny, dokud nebude situace plně pochopena. Oznámení znělo:

Vážení Rubicáni, jedna z našich smluv o směrování může být ohrožena. Všechny smlouvy budou zastaveny, dokud plně nepochopíme situaci. Prosím, nepoužívejte https://t.co/rDZSZrTUTe.Revoke https://t.co/F8QMpyd517 ASAP přes https://t.co/hwLI2Cwkt1

— Rubic (@CryptoRubic) 25. prosince 2022

Tvůrci protokolu také doporučili svým uživatelům, aby odvolali autorizaci smlouvy prostřednictvím nástroje revoke.cash. Vlákno Twitteru od blockchainové kybernetické firmy PeckShield vysvětluje, že zranitelnost v protokolu Rubic vedla ke ztrátě finančních prostředků v hodnotě 1,41 milionu dolarů přímo z peněženek, které autorizovaly její chytré smlouvy.

Rubic @CryptoRubic je využíván (s ~ 1,41 milionů $) https://t.co/ckAfQr9kgm1,100 $ ETH již do Tornado Cash od vykořisťovatele https://t.co/yPkrC2hFCZ pic.twitter.com/25rLUcMbkf

— PeckShield Inc. (@peckshield) 25. prosince 2022

Vykořisťovatelská adresa obdržela prostředky z decentralizované burzy Uniswap (DEX) v transakcích zahrnujících stablecoiny USD (USDC). PeckShied vysvětlil, že hack byl možný díky chybnému přidání USDC do podporovaných routerů. Kromě toho „nedostatek ověření v ruterCallNative“ také umožnil zneužití smlouvy.

Rychlá analýza inteligentní smlouvy pomocí chatGPT naznačuje, že funkce ruterCallNative obsahuje řadu potenciálních zranitelností, včetně znehodnoceného vstupu pro parametry „_params“ a „_data“. Ty by mohly útočníkovi umožnit předat škodlivý vstup, který by mohl vést k nesprávnému nebo nezamýšlenému chování.

Kromě toho je parametr „_gateway“ předaný funkci neomezený, což potenciálně umožňuje útočníkovi vytvořit smlouvu a nechat ji provést podle smlouvy RubicProxy.

Útočník skutečně nasadil vlastní smart kontrakt, který byl použit při útoku. Dekódovaný bajtkód ukazuje 337 řádků kódu, které umožnily útočníkovi provést útok co nejefektivněji.

Hackerova adresa obdržela nejprve převod 1 161,55 etherea (ETH) a dalších 26,88 ETH, oba z protokolu Uniswap, který odčerpával výhradně USDC a vyměnil jej za zabalené ethereum (WETH). Všechno toto WETH bylo později posláno do on-chain mixer a sankcionované entity Tornado Cash, aby anonymizovala neoprávněně získané finanční prostředky.

On-chain analýza ukazuje, že příchozí transakce v hodnotě 1,45 milionu dolarů odeslané službě anonymizace mincí pocházely z adresy hackera – při celkové hodnotě příchozích služeb za službu asi 2,9 milionu dolarů. Jinými slovy, asi polovinu majetku, který se dnes poslal do mixéru, poslal vykořisťovatel.

Příchozí převody Tornado.Cash zpracovány 25. prosince. Hackerova adresa je vpravo. | S laskavým svolením Arkham Intelligence

Přestože hackerovy prostředky tvoří tak významnou část objemu příchozích transakcí služby, jejich anonymita je stále značná. Vklad může patřit mezi výběry z Tornado Cash ve výši 2 milionů USD zpracovaných dnes nebo mezi aktiva v hodnotě 174 milionů USD, která jsou stále uložena v inteligentní smlouvě.

Tornado Cash je nyní nelegální protokol DeFi, který umožňuje uživatelům provádět anonymní převody na blockchainu Ethereum. Protokol používá důkazy s nulovými znalostmi (ZK-proofs) ke skrytí vstupních a výstupních adres transakcí. Pro třetí strany je obtížné určit identitu stran zapojených do transakce nebo konkrétní účel převodu.

Tornado Cash je open-source projekt postavený na Ethereum blockchainu a přístupný každému, kdo má Ethereum peněženku. Uživatelé mohou komunikovat se smlouvou Tornado Cash pomocí své peněženky Ethereum nebo webového rozhraní, které je stále dostupné prostřednictvím decentralizované hostingové služby InterPlanetary File System (IPFS). Mohou provádět anonymní převody ETH nebo tokenů v souladu se standardem ERC-20 zasláním svých prostředků na smlouvu Tornado Cash a jejich výběrem na novou adresu.

Zpráva navazuje na nedávné zprávy, že severokorejští hackeři za posledních pět let ukradli kolem 1,2 miliardy dolarů v kryptoměnách a dalších virtuálních aktivech. Většina těchto hacků se stala jen v roce 2021.