Ang desentralisadong application na FixedFloat ay dumaranas ng $26 milyon na hack

Ilang araw na ang nakalipas, ang desentralisadong non-KYC application na FixedFloat ay dumanas ng pag-atake ng hack sa imprastraktura nito, na nagresulta sa pagkalugi ng 26 milyong dolyar.

Ayon sa auditing at blockchain analysis company na PeckShield, kabuuang 1728 ETH at 409 BTC ang ninakaw: ang ilan sa pera ay nilabaran sa pamamagitan ng pagdaan sa mga desentralisadong mixer at coinjoin na mga transaksyon.

Sinabi ng FixedFloat na ligtas ang mga pondo ng user at hindi nakompromiso ng hack ang financial stability ng crypto exchange application.

Lahat ng detalye sa ibaba.

Kahinaan sa istraktura ng FixedFloat: ang desentralisadong aplikasyon ay dumaranas ng $26 milyon na hack sa BTC at ETH

Noong Sabado, ika-17 ng Pebrero, ang desentralisadong cryptocurrency exchange application na FixedFloat ay naging biktima ng isang hack na nagdulot ng pagkalugi ng 26 milyong dolyar sa BTC at ETH.

Nagsimula ang lahat nang mag-ulat ang ilang user na nakakaranas ng mga nakapirming transaksyon at nawawalang pondo sa kanilang mga account; makalipas ang ilang sandali, ito ay natuklasan sa pamamagitan ng on-chain analysis na ilang milyong dolyar ang naubos sa iba't ibang hindi nakikilalang mga panlabas na wallet.

Bagama't hindi pa malinaw kung paano nangyari ang pag-atake, agad na ipinaliwanag ng koponan ng FixedFloat na ito ay isang "maliit na teknikal na isyu" sa oras ng insidente.

Ang parehong ay nag-anunsyo na ang mga pondo ay ibabalik sa mga gumagamit ng platform at na ang hack ay hindi nakompromiso ang pinansiyal na katatagan ng kumpanya.

Anyway, sa oras ng pagsulat ng artikulo ang desentralisadong aplikasyon ay nananatiling hindi aktibo at nasa mode ng pagpapanatili, ngunit muli itong bubuksan sa isang hindi natukoy na hinaharap, sa sandaling tiyak na ligtas itong gamitin.

Narito ang iniulat sa X ng Fixed FixedFloat kasunod ng hack:

Ang desentralisadong palitan ay kilala sa mga serbisyo nito na hindi KYC, na hindi nangangailangan ng pagpaparehistro sa ilalim ng klasikong pamamaraang "Know Your Customer", na nagbibigay-daan sa isang mapagkumpitensyang kalamangan sa mga tuntunin ng privacy.

Sa pamamagitan ng pag-aalok ng posibilidad na manatiling anonymous at pagpayag ng mga transaksyon sa Bitcoin sa pamamagitan ng Lightning Network sa mga customer nito, ang FixedFloat ay nakaakit ng malawak na hanay ng mga user mula sa United States.

Bahagyang, ang katangian ng anonymity at ang kakulangan ng mga panloob na kontrol ay pinapaboran ang malisyosong pag-atake ng hacker, na hindi kailangang magbigay ng kanilang personal na data upang ma-access ang application.

Ayon sa cybersecurity at blockchain analysis company na PeckShield, ang pagnanakaw ay katumbas ng eksaktong 1728 ETH, nagkakahalaga ng 4.85 milyong dolyar, at 409 BTC, na nagkakahalaga ng halos 21 milyong dolyar.

Karamihan sa mga eter mula sa hack ay nailipat na sa isang malawak na hanay ng mga desentralisadong palitan sa Ethereum blockchain.

Iniulat ng FixedFloat na nakikipagtulungan sila sa pagpapatupad ng batas, mga blockchain forensic na kumpanya, at mga palitan ng cryptocurrency upang subaybayan ang mga hacker, na hindi pa nakikipag-ugnayan sa exchange. 

Sinabi ng kumpanya na tutuparin nito ang lahat ng obligasyon nito sa pagbabayad sa sandaling ipagpatuloy nito ang mga operasyon at tiyak na ligtas na gamitin muli ang palitan.

Ang bahagi ng ninakaw na BTC mula sa hack ay na-recycle sa pamamagitan ng coinjoin operation

Habang ang ETH na ninakaw mula sa hack ng desentralisadong application na FixedFloat ay madaling inilipat sa dose-dosenang iba't ibang mga address at nailipat sa Ethereum blockchain, ang BTC na bahagi ng parehong pagnakawan ay malapit nang ma-recycle sa mga transaksyong coinjoin.

Ipinapaalala namin sa iyo na ang coinjoin ay isang uri ng operasyon ng Bitcoin, na pinag-isipan sa unang pagkakataon ni Gregory Maxwell noong 2013, kung saan ilang mga pagbabayad sa BTC ay pinagsama sa isang solong transaksyon, na nagpapahirap sa pagtukoy kung aling mga address ang nagastos kung aling halaga.

Katulad ng nangyayari sa mga desentralisadong mixer tulad ng Tornado Cash, pinagsama-sama ang mga transaksyong coinjoin upang makagawa ng isang transaksyon sa isang joint pool, kung saan maaaring humiling ang mga depositor ng kanilang "pooled" at anonymous na mga pondo.

Sa aming kaso, pinagsamantalahan ng hacker ang isang uri ng mixer na gumagamit ng paraan upang mapataas ang privacy na katulad ng coinjoin, kung saan maraming BTC ang napalitan na.

Sa partikular, maaari naming patunayan na ayon sa ipinaliwanag ng isang researcher web3 sa X, bahagi ng mga ninakaw na pondo, upang maging tumpak na 2.7544 BTC, ay dumaloy sa address

34F2Jjmzo4N3kz3zVVBbqr3nn6NkvQvNjA, na kabilang sa CEX TradeOgre.

Ang perang ito ay maaaring kumatawan sa komisyon na binayaran ng malisyosong aktor para gamitin ang mixer, na tila na mai-link sa application ng Whirpool na nagpapatupad ng advanced na sistema ng privacy.

Ito ay pinaniniwalaan na 166 sa 409 BTC na ninakaw mula sa desentralisadong aplikasyon na FixedFloat ay dumaan na sa Whirpool mixer.

Ang mga insidenteng tulad nito ay karaniwan sa mga cryptographic na kapaligiran, lalo na sa mga hindi KYC na kahit papaano ay nagpoprotekta sa pagiging hindi nagpapakilala ng mga hacker.

Ayon sa on-chain forensic research company na Chainalysis, sa kabila ng maraming insidente na naitala noong 2023 Ang mga hack at pagsasamantala ay bumababa kumpara sa nakaraang taon, noong nagkaroon ng boom sa mga pagnanakaw.

Sa pangkalahatan, ang halaga ng mga na-hack na pondo ay bumaba ng humigit-kumulang 54.3% kumpara noong 2022 na may kabuuang ninakaw na halaga na humigit-kumulang 1.7 bilyong dolyar, pangunahing nagmula sa mga pag-hack ng DeFi application.