Кросчейн-протокол Socket втратив $3,3 млн унаслідок атаки
Команда агрегатора кросчейн-мостів Socket повідомила про атаку, внаслідок якої протокол втратив $3,3 млн.
Urgent
Socket has experienced a security incident which affected wallets with infinite approvals to Socket contracts.
We have identified the issue & have paused the affected contracts.
We’re working on the situation & will keep you informed with regular updates & next steps.
— Socket (@SocketDotTech) January 16, 2024
«У Socket стався інцидент безпеки, який торкнувся гаманців із нескінченним схваленням контрактів. Ми виявили проблему і призупинили порушені контракти», — написали розробники.
Вони рекомендували користувачам задля безпеки відкликати всі схвалення.
Першим факт злому виявив дослідник під ніком Spreek.
Socket/Bungee approval being exploited rn. several million already gone. attack is ongoing pic.twitter.com/8C25GBPeuo
— Spreek (@spreekaway) January 16, 2024
«Кілька мільйонів уже пішли. Атака триває», — зазначив він, вказавши адресу зловмисника.
Він також порадив відкликати схвалення, але бути уважними та використовувати тільки перевірені посилання.
Менш ніж за годину експерт констатував, що транзакції в гаманець зловмисника припинилися.
«Думаю, ця пауза виправила ситуацію, найімовірніше, атаки більше неможливі. Тож, якщо ви зараз хвилюєтеся з приводу відкликання, ймовірно, можете розслабитися», — підсумував Spreek.
За даними фахівців PeckShield, злом став результатом «неповної перевірки введених користувачем даних», що і було використано для крадіжки коштів у тих, хто схвалив вразливий контракт SocketGateway.
Today's hack on @SocketDotTech results in the loss of >$3.3m.
The bad route exploited in the hack was added 3 days ago and is now disabled. Here are related txs:
– add route tx: https://t.co/lxw7iA1kn4
– disable route tx:https://t.co/QMHfI4YeuUThe hack is due to… https://t.co/QdBBgVF287 pic.twitter.com/yNxF5vCwax
— PeckShield Inc. (@peckshield) January 16, 2024
Шлях для атаки зловмисник створив собі за три дні до інциденту, розгорнувши контракт.
Нагадаємо, за 2023 рік криптоіндустрія втратила $1,8 млрд унаслідок хакерських атак і шахрайства.