Aplikacioni i decentralizuar FixedFloat pëson një hakim prej 26 milionë dollarësh

Pak ditë më parë, aplikacioni i decentralizuar jo-KYC FixedFloat pësoi një sulm haker në infrastrukturën e tij, duke rezultuar në humbje prej 26 milionë dollarësh.

Sipas kompanisë së auditimit dhe analizës së blockchain PeckShield, gjithsej 1728 ETH dhe 409 BTC u vodhën: një pjesë e parave u lanë më pas duke kaluar nëpër miksera të decentralizuar dhe transaksione coinjoin.

FixedFloat ka deklaruar se fondet e përdoruesve janë të sigurta dhe se hakimi nuk cenoi stabilitetin financiar të aplikacionit të shkëmbimit të kriptove.

Të gjitha detajet më poshtë.

Dobësia në strukturën e FixedFloat: aplikacioni i decentralizuar pëson një hak prej 26 milionë dollarësh në BTC dhe ETH

Të shtunën, më 17 shkurt, aplikacioni i decentralizuar i këmbimit të kriptomonedhave FixedFloat ishte viktimë e një hakeri që shkaktoi humbje prej 26 milionë dollarësh në BTC dhe ETH.

Gjithçka filloi kur disa përdorues raportuan se kishin përjetuar transaksione të ngrira dhe mungesë fondesh në llogaritë e tyre; Menjëherë pas kësaj, u zbulua përmes analizës në zinxhir se disa milionë dollarë ishin derdhur në kuleta të ndryshme të jashtme të panjohura.

Megjithëse nuk është ende e qartë se si ndodhi sulmi, ekipi i FixedFloat shpjegoi menjëherë se ishte një "problem i vogël teknik” në kohën e incidentit.

I njëjti ka njoftuar se fondet do t'u kthehen përdoruesve të platformës dhe se hakimi nuk ka cenuar stabilitetin financiar të kompanisë.

Gjithsesi, në momentin e shkrimit të artikullit aplikacioni i decentralizuar mbetet joaktiv dhe në modalitetin e mirëmbajtjes, por do të rihapet në një të ardhme të paspecifikuar, sapo të sigurohet se do të jetë i sigurt për t'u përdorur.

Ja çfarë u raportua në X nga Fixed FixedFloat pas hakimit:

Bursa e decentralizuar është e njohur për shërbimet e saj jo-KYC, të cilat nuk kërkojnë regjistrim sipas procedurës klasike "Njih klientin tënd", duke lejuar një avantazh konkurrues për sa i përket privatësisë.

Duke ofruar mundësinë për të mbetur anonim dhe duke lejuar transaksione në Bitcoin përmes Lightning Network për klientët e saj, FixedFloat ka tërhequr një gamë të gjerë përdoruesish nga Shtetet e Bashkuara.

Pjesërisht, karakteristika e anonimitetit dhe mungesa e kontrolleve të brendshme favorizuan sulmin keqdashës të hakerëve, të cilët nuk duhej të jepnin të dhënat e tyre personale për të hyrë në aplikacion.

Sipas kompanisë së sigurisë kibernetike dhe analizës së blockchain PeckShield, vjedhja kap vlerën e saktësisht 1728 ETH me vlerë 4.85 milionë dollarë dhe 409 BTC me vlerë gati 21 milionë dollarë.

Shumica e eterit nga hakimi tashmë është transferuar në një gamë të gjerë shkëmbimesh të decentralizuara në blockchain Ethereum.

FixedFloat ka raportuar se ata janë duke punuar me zbatimin e ligjit, kompanitë mjekoligjore të blockchain dhe shkëmbimet e kriptomonedhave për të gjurmuar hakerët, të cilët ende nuk kanë kontaktuar me shkëmbimin. 

Kompania ka deklaruar se do të respektojë të gjitha detyrimet e saj të pagesës sapo të rifillojë operacionet dhe është e sigurt që shkëmbimi do të jetë i sigurt për t'u përdorur përsëri.

Një pjesë e BTC-së së vjedhur nga hakimi u riciklua përmes një operacioni coinjoin

Ndërsa ETH-ja e vjedhur nga hakimi i aplikacionit të decentralizuar FixedFloat është zhvendosur lehtësisht në dhjetëra adresa të ndryshme dhe ka qarkulluar përmes zinxhirit të bllokut Ethereum, BTC që janë pjesë e së njëjtës plaçkë janë gati të riciklohen me transaksione coinjoin.

Ju kujtojmë se coinjoin është një lloj operacioni Bitcoin, i teorizuar për herë të parë nga Gregory Maxwell në 2013, në të cilin disa pagesa BTC kombinohen në një transaksion të vetëm, duke e bërë të vështirë përcaktimin se cilat adresa kanë shpenzuar shumën.

Ngjashëm me atë që ndodh me miksera të decentralizuar si Tornado Cash, transaksionet coinjoin kombinohen së bashku për të bërë një transaksion të vetëm në një grup të përbashkët, nga i cili depozituesit mund të kërkojnë më pas fondet e “bashkuara” dhe anonime.

Në rastin tonë, hakeri ka shfrytëzuar një lloj mikseri që përdor një metodë për të rritur privatësinë e ngjashme me coinjoin, ku tashmë janë shkëmbyer disa BTC.

Në veçanti, mund të pohojmë se sipas asaj që u shpjegua nga një studiues web3 në X, një pjesë e fondeve të vjedhura, më saktë 2.7544 BTC, kanë rrjedhur në adresë.

34F2Jjmzo4N3kz3zVVBbqr3nn6NkvQvNjA, e cila i përket CEX TradeOgre.

Këto para mund të përfaqësojnë komisionin e paguar nga aktori keqdashës për të përdorur mikserin, i cili duket për t'u lidhur me aplikacionin Whirpool që zbaton një sistem të avancuar privatësie.

Besohet se 166 nga 409 BTC të vjedhura nga aplikacioni i decentralizuar FixedFloat kanë kaluar tashmë përmes mikserit Whirpool.

Incidente si ky janë të zakonshme në mjediset kriptografike, veçanërisht në ato jo-KYC që mbrojnë disi anonimitetin e hakerëve.

Sipas kompanisë kërkimore mjeko-ligjore në zinxhir Chainalysis, pavarësisht incidenteve të shumta të regjistruara në vitin 2023 hakimet dhe shfrytëzimet janë në rënie krahasuar me një vit më parë, kur pati një bum vjedhjesh.

Në përgjithësi, vlera e fondeve të hakuara është ulur me rreth 54.3% krahasuar me vitin 2022 me një shumë totale të vjedhur prej afërsisht 1.7 miliardë dollarësh, kryesisht e ardhur nga hakimet e aplikacioneve DeFi.