Исследователь безопасности блокчейн-платформ и хакер samczsun помог DeFi-проекту сохранить $10 млн в Ethereum, о чем рассказал в своем блоге. В середине сентября эксперт искал уязвимости среди приложений сектора децентрализованных финансов и нашел такую у проекта Lien Finance. Один из его протоколов содержал 25 000 монет ETH, которые мог забрать любой желающий. Об этом пишет РБК Крипто.
Специалист пояснил, что смарт-контракт, на котором была заблокирована криптовалюта, имел некорректно прописанную функцию сжигания. Любой пользователь мог выпустить ничего не стоящие токены и обменять их на монеты Ethereum, размешенные в протоколе. Samczsun решил предотвратить кражу криптовалюты, но здесь возник целый ряд трудностей.
Во-первых, команда Lien Finance анонимная. Соответственно, сообщать об обнаружении уязвимости было некому. К тому же нельзя было рассказать об этом публично, так как это, вероятно, привело бы к краже Ethereum. По этим причинам хакер объединился с Александром Уэйди, исследователем из студии ConsenSys, которая проводила аудит протоколов Lien Finance, и специалистом по безопасности в сети Ethereum Скоттом Бигелоу.
Совместно эксперты должны были решить вторую проблему. Изначально они собирались воспользоваться уязвимостью и вывести монеты, а затем передать их законным владельцам. Но так было нельзя действовать из-за «фронтраннеров». Это специальные торговые боты, работающие в сети Ethereum. Они ищут в блокчейне транзакции, проведение которых принесет пользователям выгоду, а затем дублируют эти транзакции, но предлагают более высокую комиссию, чтобы попасть в блок первыми.
Поэтому крайне важно было сохранить грядущую операцию по спасению 25 000 монет Ethereum в секрете. Чтобы достичь этого, команда из хакера и других специалистов обратилась к майнинг-пулу SparkPool. Совместно специалисты разработали алгоритм, который позволил бы принимать майнерам транзакции от хакера таким образом, чтобы они не отображались в сети Ethereum и, соответственно, не могли быть перехвачены ботами-фронтраннерами.
В то же время хакеру удалось выйти на связь с компанией CertiK, которая также проводила аудит протокола Lien Finance. Таким образом был установлен контакт с разработчиками проекта, и они были предупреждены о грядущей операции. В итоге она прошла следующим образом.
Этого не произошло. Транзакция осталась незамеченной и прошла успешно. В результате разработчики из Lien Finance получили токены SBT и LBT, которые впоследствии были обменены на 25 000 Ethereum. Эту операцию зафиксировал обозреватель блокчейна etherscan.io.
В июле неизвестный хакер за полчаса заработал почти $500 000 в криптовалюте во время токенсейла монеты BZRX. Он совершил спам-атаку на блокчейн Ethereum, чтобы купить криптовалюту первым и затем продать ее другим трейдерам, которые пытались принять участие в продаже монет, но не смогли этого сделать из-за перегрузки сети.
Будь в курсе! Подписывайся на Криптовалюта.Tech в Telegram.
Обсудить актуальные новости и события на Форуме