Хакер вывел из пулов KyberSwap криптоактивы на $47 млн

[INC.]

Представители децентрализованной биржи KyberSwap сообщили о взломе пула ликвидности Elastic Pools, в результате которого хакеры вывели из протокола около $47 млн.

«В качестве меры предосторожности мы настоятельно рекомендуем всем пользователям незамедлительно вывести свои средства», — предупредила команда проекта.

Первым взлом обнаружил пользователь X под псевдонимом Spreek, указав на подозрительный вывод средств.

По его подсчетам, украденные активы включают $7,5 млн в сети Ethereum, $15 млн в Optimism, $16 млн в Arbitrum, $2,8 млн в Polygon и $870 000 — в Base.

Хакер также оставил сообщение к транзакции:

«Уважаемые разработчики KyberSwap, сотрудники, члены ДАО и партнеры, переговоры начнутся через несколько часов, когда я полностью отдохну. Спасибо».

Генеральный партнер Cinneamhain Ventures Адама Кокран считает, что эксплойт стал возможен благодаря использованию флэш-кредитов и «каких-то математических вычислений». Он пришел к такому выводу, поскольку каждая транзакция злоумышленника начиналась с поступления ETH для оплаты свопа.

Looks like the Kyber exploits is flash loans and some sort of math/rounding issue.

Each tx is starting with an ETH balance coming in, looped mint/redeem/swap.

So likely not a risk to approvals from non-LPs but worth staying frosty

— Adam Cochran (adamscochran.eth) (@adamscochran) November 22, 2023

 

[Dtramp]

Белый хакер

 

[INC.]

Стоящий за взломом децентрализованной биржи KyberSwap злоумышленник потребовал передачи всех активов и документов проекта, включая акции и токены.

👀👀👀 New development on the @KyberNetwork exploit: https://t.co/fkaiyVQ0d4 pic.twitter.com/oF5GdRgMbb

— PeckShield Inc. (@peckshield) November 30, 2023

Речь идет как об ончейн-, так и офчейн-собственности, уточнил он.

О взломе пула ликвидности Elastic Pools, в результате которого хакер вывел из протокола около $47 млн, стало известно 23 ноября. К транзакции он оставил сообщение о намерении начать переговоры «через несколько часов».

Позднее управляющая KyberSwap децентрализованная автономная организация обратилась к злоумышленнику с предложением до 25 ноября вернуть большую часть средств за вознаграждение.

Спустя неделю хакер отреагировал, выдвинув «единственные и лучшие» вышеупомянутые условия.

При их выполнении он обязался увеличить вдвое зарплаты сотрудникам. Тем, кто решит покинуть проект взломщик готов предоставить выходное пособие на 12 месяцев с полными льготами и помощь в поиске новой работы.

Согласно его плану, провайдеры ликвидности смогут рассчитывать на возврат 50% средств. Злоумышленник признал, что это «не то что могло бы их устроить, но больше, чем они заслуживают».

«Владельцы токенов, ваши активы потеряют ценность. Разве этого недостаточно? Я пойду еще дальше. Под моим руководством Kyber претерпит полную перестройку. Это больше не будет седьмая по популярности DEX, а, скорее, совершенно новый криптографический проект», — написал хакер.

Топ-менеджерам он предложил выкуп «по справедливой стоимости». Взломщик отметил, что последние «не сделали ничего плохого и им просто не повезло из-за допущенной ошибки — округления в неправильном направлении».

Злоумышленник установил 10 декабря в качестве дедлайна. Если по истечению срока условия не будут выполнены, он посчитает соглашение провалившимся. Хакер оставил свои контакты в Telegram.

Ранее команда KyberSwap предупредила о фейковых компенсациях.

 

[INC.]

Гендиректор и сооснователь децентрализованной биржи KyberNetwork Виктор Тран объявил о сокращении рабочего персонала на 50% в связи с недавним взломом протокола KyberSwap на $50 млн.

Виктор Тран (Victor Tran) выразил сожаление по поводу резкого сокращения количества сотрудников, которое необходимо для перераспределения ресурсов. Тран назвал их преданными, честными и талантливыми кадрами, которые внесли большой вклад в развитие индустрии DeFi. Чтобы поддержать уходящих членов команды, руководство KyberSwap создало специальную базу данных сотрудников, призвав других участников сектора Web3 рассмотреть сотрудничество с этими специалистами.

KyberNetwork отметила, что несмотря на вывод активов из пулов ликвидности платформы Elastic, биржа по-прежнему работает устойчиво. К тому же, платформа собирается запустить решение API Zap, расширяющее доступ к протоколам ликвидности децентрализованного финансирования (DeFi). Тран подчеркнул, что KyberSwap поддержит пострадавших пользователей через программу KyberSwap Elastic Exploit, покрывающую до 100% потерь. Однако KyberSwap временно приостановил инициативы по протоколу ликвидности и проекту KyberAI.

Напомним, что хакеру, взломавшему KyberSwap, была предложена награда — 10% от украденных средств. Однако злоумышленник не пожелал мирно урегулировать конфликт. Он потребовал полный контроль над площадкой и доступ к банковским счетам.