Delta Prime ha sospeso il suo protocollo sia su Avalanche che su Arbitrum, dopo un exploit stimato in 4,75 milioni di dollari. Il protocollo ha scoperto una vulnerabilità e ha chiuso tutte le transazioni per evitare ulteriori danni.
Delta Prime ha perso risorse sulle sue versioni Avalanche e Arbitrum, per un totale di 4,75 milioni di dollari di perdite. Questo è il secondo attacco contro il protocollo dopo un precedente attacco del 19 settembre. Durante l'attacco precedente, Delta Prime ha perso 5,9 milioni di dollari a causa della compromissione dei portafogli. L'attività di hacking era legata a Lazarus, il gruppo di hacker nordcoreani, come monitorato da ZachXBT.
L'ultimo hack era legato a portafogli compromessi, di cui gli hacker controllavano le chiavi private. Questa volta, nessuno dei token detenuti da DeltaPrime è stato compromesso. Tuttavia, alcuni dei principali meccanismi di ricompensa del protocollo si sono rivelati difettosi.
Come per altri exploit, i collegamenti dannosi ai social media vengono distribuiti tramite account imitatori. Questi collegamenti portano a siti Web che promettono il recupero dei fondi o la revoca dell'autorizzazione.
Il protocollo Delta Prime conteneva più di 35 milioni di dollari di valore totale bloccato. A settembre, prima dell’hacking, il valore ammontava a 65 milioni di dollari. La successiva perdita di valore di PRIME e la perdita di fiducia nel protocollo hanno portato ad un calo del valore bloccato. Tuttavia, Delta Prime era sulla buona strada per recuperare la sua liquidità, rispetto a un minimo di 22 milioni di dollari, quando si è verificato questo nuovo exploit.
I due hack sono separati da meno di due mesi e ricordano il caso di Cosmos (ATOM). Nel progetto si sono infiltrati hacker nordcoreani che si spacciavano per sviluppatori, responsabili delle parti critiche del codice. Per ora, Cosmos non è stato sfruttato, ma il caso ha sollevato preoccupazioni sulla capacità degli autori malintenzionati di essere consapevoli delle vulnerabilità degli smart contract.
L'hacking di Delta Prime segue un exploit minore simile in cui è stata prosciugata una riserva di liquidità. Il ricercatore Chaofan Shou ha notato che un contratto intelligente vulnerabile ha permesso all'hacker di drenare una ricompensa molto più grande, in questo caso, costando al protocollo senza nome $ 500.000 .
Delta Prime ha dovuto affrontare un exploit di ricompensa
Secondo gli esperti on-chain di Peckshield, questa volta Delta Prime ha subito un exploit del suo contratto intelligente di ricompensa. Sembra che l'aggressore abbia anche acquisito i privilegi di amministratore su SmartLoansFactory , uno dei contratti collaterali che controllano la creazione del prestito e il finanziamento iniziale in un'unica transazione. Il contratto intelligente gestisce anche i dati dei creatori di prestiti, noti come Registro dei mutuatari.
Delta Prime è un progetto creato per l’agricoltura a leva, uno strumento rischioso per prendere in prestito e depositare fondi nei protocolli di agricoltura a rendimento. Il contratto intelligente di ricompensa del protocollo conteneva un difetto che consentiva all'hacker di ricevere ricompense per una coppia falsa.
L'analisi di Peckshield rivela che l'input del contratto non è stato verificato, consentendo all'hacker di conservare sia la garanzia iniziale che i fondi presi in prestito. Certik ha monitorato le azioni , che includevano un tentativo di prendere in prestito WBTC, in cui l'hacker ha finito per trattenere sia la garanzia che il prestito.
L'exploit del contratto intelligente è avvenuto nonostante Delta Prime avesse effettuato un audit completo da parte di Peckshield. In totale, Delta Prime ha completato sette audit indipendenti, l'ultimo nell'estate del 2024.
Lo sfruttatore ha rubato 110 AVAX, 74 WAVAX, 860.000 USDC, 6,34 BTC, 49 WETH e altri 260.000 USDT. Dopo che i fondi sono stati inviati ai portafogli intermediari, alcuni sono stati riportati ai protocolli DeFi, tra cui il liquidity farming LFJ e Stargate.
I beni rubati provenivano da più pool prosciugati, concentrando il bottino in un unico indirizzo. La maggior parte dei fondi si trova sulla catena Arbitrum, vincolata al suo panorama DeFi. L'hacker non ha collegato o mescolato i fondi.
Il portafoglio dell'hacker è multicatena , anche se gli altri indirizzi contengono solo una piccola parte dei fondi. Il portafoglio principale ha continuato a interagire con altri protocolli Arbitrum Swap e DeFi dopo che l'attacco è stato notato. Tutti i portafogli sono stati creati di recente e inizialmente finanziati da fonti DEX. I portafogli non hanno attività o cronologia precedenti prima dell’hacking.
Alcuni dei fondi sono immagazzinati su Avalanche e hanno continuato i loro movimenti nelle ore successive all'attacco. La maggior parte delle risorse su Avalanche C-Chain sono state spostate su altri protocolli, poiché l'hacker li ha utilizzati per fornire liquidità .
I portafogli Avalanche o Arbitrum non contenevano alcuna transazione ponte. Circa 750.000 dollari di fondi sono contenuti nei portafogli Arbitrum identificati, mentre Avalanche detiene 2,18 milioni di dollari. I due attacchi sono stati svolti separatamente per ciascuna catena, per un totale di cinque portafogli identificati.