Isang pagsasamantala sa desentralisadong pananalapi (DeFi) protocol Qubit Finance ay nagbigay-daan sa isang hacker na makaalis na may $80 milyon sa ninakaw na crypto kahapon.
Ang partikular na smart contract flaw na nagbigay-daan sa pag-atake ay matatagpuan sa X-Bridge, isang cross-chain bridge na nagpapadali sa madaling pagpapalit ng token sa pagitan Ethereum at Binance SmartChain.
Ang kapintasang ito ay nagbigay-daan sa attacker na mag-input ng malisyosong data nang hindi nagdedeposito ng Ethereum at tumanggap ng $185 milyon na halaga sa Qubit xETH (isang asset na kumakatawan sa bridged na Ethereum sa Binance Smart Chain) bilang kapalit.
Pagkatapos ay ginamit ng attacker ang perang ito bilang collateral para “humiram” ng humigit-kumulang $80 milyon na halaga ng crypto mula sa iba't ibang lending pool.
Ang buong pagkasira ng pinagkukunan ng mga ari-arian ay nagkakahalaga ng 15,688 wETH ($37.6 milyon), 767 BTC-B ($28.5 milyon), humigit-kumulang $9.5 milyon sa stablecoins, at $5 milyon sa CAKE, BUNNY, at MDX token, ayon sa audit firm na CertiK.
Dahil hindi kailanman na-convert ng umaatake ang kanilang qXETH "collateral," ang kabuuang halaga ng pagnanakaw sa Qubit Finance ay $80 milyon.
Nag-aalok ang Qubit ng crypto bounty
Inilathala ang Qubit Finance isang blog post ngayon na may play-by-play na breakdown ng pag-atake sa kabuuan nito.
Sa pahina ng Twitter ng Qubit, nag-tweet din ang koponan na ito ay "natutuwa na makipag-usap sa [ang umaatake]." Nag-attach ito ng isang screenshot na mensahe na nagsasabi na ang Qubit ay "handa na mag-alok [sa umaatake] ng maximum na bounty para sa nahayag na pagsasamantala" upang "mabawasan ang epekto sa komunidad."
Ang mga analyst ng seguridad ng Blockchain na si Peckshield ay nag-tweet noong Biyernes ng umaga na na-audit nito ang protocol ng pagpapautang ng Qubit Finance at magbibigay ng karagdagang mga detalye sa lalong madaling panahon.
Tila ang QBridge ng @QubitFin ay na-hack para mag-mint ng malaking halaga ng collateral ng xETH at maubos ang pondo ng pool ng humigit-kumulang $80M. Pakitandaan na in-audit namin ang Qubit lending, hindi ang QBridge! Marami pang darating…
- PeckShield Inc. (@peckshield) Enero 27, 2022
Bagama't ang pag-atake na ito ang pinakamalaki sa taong ito, hindi ito ang unang cross-chain hack noong 2022.
Noong nakaraang linggo, isang white-hat hacker ang nagnakaw $1.73 milyon mula sa Multichain bago ibalik ang $900,000 at ibulsa ang natitira bilang bounty.
Habang nagiging sikat ang iba't ibang blockchain at lumalaki ang aktibidad ng cross-chain sa tabi nito, ang mga proyekto tulad ng Qubit at Multichain ay inaasahang magiging pangunahing target ng mga hacker.
Pinagmulan: https://decrypt.co/91447/binance-smart-chain-ethereum-crypto-bridge-hacked-80-million