История
2022: Кража $80 млн в результате хакерской атаки
В конце января 2022 года хакеры взломали DeFi-проект Qubit Finance и вывели из его пула криптовалюту на $80 млн.
По сообщению компании CertiK, которая специализируются на безопасности блокчейнов, в коде взломанного смарт-контракта X-Bridge была «логическая ошибка», которая привела к эксплойту. X-Bridge упрощает обмен токенов с Ethereum на Binance Smart Chain. Другими словами, когда пользователь вносит токен ERC-20 в сервис, он получает взамен токен BEP-20, который затем можно использовать в Binance Smart Chain. Ошибка в коде позволила злоумышленнику вывести токены в Binance Smart Chain, когда ни один из них не был депонирован в Ethereum.
Злоумышленникам удалось получить 77 162 qXETH ($185 млн), которые они затем использовали в качестве залога и заняли другие активы у кредитных пулов на сумму $80 млн. Эти активы включают 15 688 wETH ($37,6 млн), 767 BTC-B ($28,5 млн), различные стейблкоины на сумму около $9,5 млн и токены CAKE, BUNNY и MDX на сумму около $5 млн.
В компании CertiK объяснили, что злоумышленникам удалось воспользоваться уязвимостью, вызвав функцию депозита в контракте QBridge без внесения средств. Ethereum QBridge зафиксировал событие депозита и выпустил для хакера $qXETH на блокчейне BSC.
 | QBridge обрабатывает событие депозита как пополнение #ETH, потому что методы «deposit» и «depositETH» в контракте QBridge вызывают одно и то же событие, - отметили исследователи. |  |
Киберпреступники повторили запрос несколько раз, что позволило увеличить итоговую сумму до $80 млн.
| | Это, безусловно, крупнейший эксплойт 2022 года на сегодняшний день, - отметили эксперты CertiK. | |
По их данным, в 2021 году проекты DeFi потеряли $1,3 млрд из-за взломов. В DeFiYield заявили, что этот взлом стал седьмым по величине в сегменте децентрализованных финансов.[1]
Примечания
