TrustedVolumes, un fornitore di liquidità sulla blockchain di Ethereum, ha perso circa 5,9 milioni di dollari a causa di un hacker giovedì.
L'attaccante è riuscito a sfruttare una vulnerabilità all'interno del sistema di trading personalizzato utilizzato dalla piattaforma e a prelevare i fondi, che includevano ETH, WBTC, nonché le stablecoin USDT e USDC.
Quello che è successo
Secondo Blockaid, società di sicurezza blockchain che ha individuato l'attacco mentre era in corso, i fondi rubati includevano 1.291 WETH, circa 16,9 WBTC, circa 206.000 USDT e poco meno di 1,27 milioni di USDC.
L'attacco ha funzionato sfruttando una falla di progettazione nel sistema personalizzato di liquidazione degli ordini di TrustedVolumes, noto come proxy per le richieste di preventivo (RFQ).
GoPlus Security ha pubblicato un'analisi dettagliata che mostra come l'attaccante si sia registrato come "firmatario autorizzato dell'ordine" utilizzando una funzione chiamata "registerAllowedOrderSigner()" che era accessibile pubblicamente.
La funzione permetteva a chiunque di designare il proprio indirizzo come firmatario valido per le transazioni controllate e, sebbene normalmente ciò non avrebbe creato problemi, la funzione di regolamento presentava un problema a parte: verificava l'autorizzazione rispetto a un indirizzo, ma prelevava effettivamente i fondi da un indirizzo diverso.
Come dettagliato in un rapporto tecnico pubblicato dal ricercatore di sicurezza Defi Nerd, l'attaccante ha sfruttato tale falla per eseguire quattro transazioni di svuotamento contro il contratto resolver di TrustedVolumes, che in precedenza aveva concesso al proxy l'autorizzazione a spostare i propri token.
Secondo quanto da loro affermato, ogni volta il proxy prelevava gli asset dal resolver e inviava indietro una sola unità USDC grezza. Successivamente, l'attaccante riconvertiva i WETH rubati in ETH e trasferiva tutto al proprio portafoglio.
TrustedVolumes ha confermato la vulnerabilità e ha pubblicato pubblicamente tre indirizzi di wallet contenenti i fondi rubati, chiedendo all'hacker di mettersi in contatto per una "ricompensa per la segnalazione del bug e una soluzione reciprocamente accettabile".
1 pollice di distanza si riduce mentre gli hacker della DeFi continuano
Poiché TrustedVolumes opera come fornitore di liquidità e market maker su 1inch, alcune prime segnalazioni hanno inquadrato l'incidente come una violazione della sicurezza di 1inch.
Tuttavia, questa affermazione non è esatta, e sia 1inch che Blockaid hanno rilasciato dichiarazioni chiarendo che il protocollo stesso non è stato compromesso e che nessun fondo degli utenti su 1inch è stato interessato. TrustedVolumes opera in modo indipendente su diverse piattaforme, non esclusivamente su 1inch.
L'attacco si è verificato durante un periodo particolarmente difficile per l'ecosistema DeFi, in quanto ha fatto seguito a un mese di aprile catastrofico, durante il quale sono stati rubati oltre 650 milioni di dollari in criptovalute da diversi progetti.
KelpDAO e Drift Protocol sono stati i più colpiti, subendo perdite rispettivamente per 292 milioni e 285,2 milioni di dollari.
Quindi, con 5,9 milioni di dollari, quest'ultimo attacco è di portata minore. Tuttavia, la sofisticatezza tecnica dell'approccio, che prevede l'utilizzo di un contratto ausiliario, l'abuso della registrazione self-service dei firmatari e lo sfruttamento di una discrepanza tra produttore e fonte di finanziamento in un'unica transazione, lo colloca in una categoria diversa da un semplice bug o da un errore di configurazione.
L'articolo "Hacker sottrae 5,9 milioni di dollari al fornitore di liquidità Ethereum TrustedVolumes" è apparso per la prima volta su CryptoPotato .