TrustedVolumes, un furnizor de lichiditate pe blockchain-ul Ethereum, a pierdut aproximativ 5,9 milioane de dolari în fonduri în urma unui atac cibernetic, joi. Atacatorul a reușit să exploateze o vulnerabilitate în sistemul de tranzacționare personalizat utilizat de platformă și a reușit să retragă fondurile, care includeau ETH, WBTC, precum și stablecoins USDT și USDC.
Potrivit firmei de securitate blockchain Blockaid, care a depistat exploatarea în timp ce se întâmpla, fondurile furate includeau 1.291 WETH, aproximativ 16,9 WBTC, aproximativ 206.000 USDT și puțin sub 1,27 milioane USDC.
Atacul a funcționat abuzând de o eroare de proiectare în sistemul de decontare a ordinelor personalizat al TrustedVolumes, cunoscut sub numele de proxy Request for Quote (RFQ). GoPlus Security a publicat o defalcare care arată că atacatorul s-a înregistrat ca „semnatar de ordine” autorizat folosind o funcție numită „registerAllowedOrderSigner()” care era accesibilă public. Funcția permite oricui să-și desemneze propria adresă ca semnatar valabil pentru tranzacțiile pe care le controlează și, deși în mod normal acest lucru ar fi suficient de inofensiv, funcția de decontare avea o problemă separată: verifica autorizarea față de o adresă, în timp ce efectua de fapt retrageri de fonduri de la alta.
Așa cum se detaliază într-un raport tehnic publicat de cercetătorul de securitate Defi Nerd, atacatorul a folosit acest decalaj pentru a executa patru tranzacții de drenaj împotriva contractului TrustedVolumes resolver, care dăduse anterior permisiunea proxy-ului de a-și muta tokenurile. Potrivit acestora, de fiecare dată, proxy-ul a extras active de la resolver și a trimis înapoi o singură unitate USDC brută. Apoi, atacatorul a convertit WETH-ul furat înapoi în ETH și a trimis totul în propriul portofel.
TrustedVolumes a confirmat exploit-ul și a publicat public trei adrese de portofel care dețineau fondurile furate, cerând hackerului să ia legătura cu privire la o „recompensă pentru bug-uri și o rezoluție reciproc acceptabilă”.
Deoarece TrustedVolumes funcționează ca furnizor de lichiditate și market maker pe 1inch, unele rapoarte timpurii au încadrat incidentul ca pe un exploit 1inch. Cu toate acestea, acest lucru nu este corect, iar atât 1inch, cât și Blockaid au publicat declarații care clarifică faptul că protocolul în sine nu a fost compromis și că niciun fond de utilizator de pe 1inch nu a fost afectat. TrustedVolumes funcționează independent pe mai multe platforme, nu exclusiv pe 1inch.
Atacul a avut loc într-o perioadă deosebit de dificilă pentru ecosistemul DeFi, deoarece a urmat o lună catastrofală a lunii aprilie, în care au fost furați peste 650 de milioane de dolari în cripto de la diferite proiecte. KelpDAO și Drift Protocol au fost cele mai afectate, având 292 de milioane de dolari și respectiv 285,2 milioane de dolari luați de la ei. Așadar, cu 5,9 milioane de dolari, acest ultim exploit este mai mic ca scară. Dar sofisticarea tehnică a abordării, implementarea unui contract de asistență, abuzul de înregistrare auto-service a semnatarului și exploatarea unei nepotriviri între creator și sursa de finanțare într-o singură tranzacție, o plasează într-o categorie diferită de un simplu bug sau o configurație greșită.