Decentralizirana aplikacija FixedFloat pretrpjela je hakiranje od 26 milijuna dolara

Prije nekoliko dana, decentralizirana ne-KYC aplikacija FixedFloat pretrpjela je hakerski napad na svoju infrastrukturu, što je rezultiralo gubicima od 26 milijuna dolara.

Prema tvrtki za reviziju i analizu blockchaina PeckShield, ukradeno je ukupno 1728 ETH i 409 BTC: dio novca je potom opran prolazeći kroz decentralizirane miksere i coinjoin transakcije.

FixedFloat je izjavio da su korisnička sredstva sigurna i da hakiranje nije ugrozilo financijsku stabilnost aplikacije za kripto razmjenu.

Svi detalji ispod.

Ranjivost u strukturi FixedFloata: decentralizirana aplikacija pretrpjela hakiranje od 26 milijuna dolara u BTC i ETH

U subotu, 17. veljače, decentralizirana aplikacija za razmjenu kriptovaluta FixedFloat bila je žrtva hakiranja koje je uzrokovalo gubitke od 26 milijuna dolara u BTC-u i ETH-u.

Sve je počelo kada je nekoliko korisnika prijavilo zamrznute transakcije i nestanak sredstava na njihovim računima; ubrzo nakon toga, analizom na lancu otkriveno je da nekoliko milijuna dolara je odvedeno u razne nepriznate vanjske novčanike.

Iako još nije jasno kako je došlo do napada, FixedFloat tim je promptno objasnio da se radi o “mali tehnički problem” u vrijeme incidenta.

Isti je najavio da će sredstva biti vraćena korisnicima platforme te da hakiranje nije ugrozilo financijsku stabilnost tvrtke.

U svakom slučaju, u trenutku pisanja članka decentralizirana aplikacija ostaje neaktivna iu održavanju, ali bit će ponovno otvoren u neodređenoj budućnosti, čim bude sigurno za upotrebu.

Evo što je na X-u prijavio Fixed FixedFloat nakon hakiranja:

Decentralizirana burza poznata je po svojim ne-KYC uslugama, koje ne zahtijevaju registraciju prema klasičnom postupku "Upoznaj svog kupca", što omogućuje konkurentsku prednost u pogledu privatnosti.

Nudeći mogućnost da ostanu anonimni i dopuštaju transakcije u Bitcoinu putem Lightning Network svojim klijentima, FixedFloat je privukao širok raspon korisnika iz Sjedinjenih Država.

Djelomično je karakteristika anonimnosti i nedostatak internih kontrola pogodovala zlonamjernom hakerskom napadu, koji nije morao dati svoje osobne podatke za pristup aplikaciji.

Prema tvrtki PeckShield koja se bavi kibernetičkom sigurnošću i analizom blockchaina, krađa iznosi točno 1728 ETH, vrijednih 4.85 milijuna dolara, te 409 BTC-a, vrijednih gotovo 21 milijun dolara.

Većina ethera od hakiranja već je prebačena na širok raspon decentraliziranih razmjena na Ethereum blockchainu.

FixedFloat je izvijestio da surađuju s policijom, forenzičkim tvrtkama za blockchain i burzama kriptovaluta kako bi ušli u trag hakerima, koji još nisu kontaktirali burzu. 

Tvrtka je izjavila da će ispuniti sve svoje obveze plaćanja čim nastavi s radom i bude siguran da će mjenjačnica ponovno biti sigurna za korištenje.

Dio ukradenih BTC-ova iz hakiranja recikliran je kroz operaciju coinjoin

Dok je ETH ukraden hakiranjem decentralizirane aplikacije FixedFloat lako premješten na desetke različitih adresa i kruži kroz Ethereum blockchain, BTC koji su dio istog plijena uskoro će se reciklirati s coinjoin transakcijama.

Podsjećamo da je coinjoin vrsta Bitcoin operacije, koju je prvi put teoretizirao Gregory Maxwell 2013. godine, u kojoj nekoliko BTC plaćanja kombinira se u jednu transakciju, što otežava utvrđivanje koje su adrese potrošile koji iznos.

Slično onome što se događa s decentraliziranim mješačima kao što je Tornado Cash, coinjoin transakcije se kombiniraju kako bi se napravila jedna transakcija u zajedničkom skupu, od kojeg deponenti mogu zatražiti natrag svoje “udružena” i anonimna sredstva.

U našem slučaju, haker je iskoristio neku vrstu miksera koji koristi metodu za povećanje privatnosti sličnu coinjoinu, gdje je već razmijenjeno nekoliko BTC-a.

Konkretno, možemo potvrditi da je prema onome što je objasnio istraživač web3 na X-u, dio ukradenih sredstava, točnije 2.7544 BTC, pritjecao na adresu

34F2Jjmzo4N3kz3zVVBbqr3nn6NkvQvNjA, koji pripada CEX TradeOgre.

Taj bi novac mogao predstavljati proviziju koju zlonamjerni akter plaća za korištenje miksera, koji Čini se biti povezan s aplikacijom Whirpool koja implementira napredni sustav privatnosti.

Vjeruje se da je 166 od 409 BTC-a ukradenih iz decentralizirane aplikacije FixedFloat već prošlo kroz Whirpool mikser.

Ovakvi incidenti uobičajeni su u kriptografskim okruženjima, posebno u onima koja nisu KYC i koja na neki način štite anonimnost hakera.

Prema on-chain forenzičkoj istraživačkoj tvrtki Chainalysis, unatoč brojnim incidentima zabilježenim u 2023. hakiranja i eksploatacije smanjuju se u odnosu na prethodnu godinu, kada je bio bum krađa.

Sve u svemu, vrijednost hakiranih sredstava smanjila se za oko 54.3% u usporedbi s 2022. s ukupnim ukradenim iznosom od približno 1.7 milijardi dolara, uglavnom izvedenim hakiranjem DeFi aplikacija.