Allbridge offre una taglia all'hacker che ha rubato $ 573 dalla piattaforma in un attacco di prestito flash. Il 3 aprile, Allbridge ha twittato che l'hacker li ha contattati e gli sono stati restituiti 1500 BNB. Il fornitore di soluzioni bridging ha aggiunto che un secondo indirizzo associato all'hack non li ha ancora contattati. Il secondo indirizzo contiene 0.97 BNB o circa $ 300. Allbridge sta cercando di raggiungere anche il secondo aggressore.
"I fondi rimanenti saranno considerati una taglia da cappello bianco per questa persona", ha aggiunto Allbridge.
Un attacco di prestito flash coinvolge un hacker che si avvale di un prestito flash (una somma prestata senza garanzie, ma deve essere pagata nella stessa transazione/blocco) e poi manipola i prezzi su un'altra catena.
L'hacker, mascherato da fornitore di liquidità e swapper, ha manipolato il prezzo di swap sulla BNB Chain. Nel processo, l'hacker ha intascato $ 282,889 in BUSD e $ 290,868 in USDT (per un totale di $ 573,757). PeckShield, una società di sicurezza blockchain è stata la prima a scoprire l'hack; ha segnalato l'hack su Twitter il 1 aprile.
Allbridge ha temporaneamente chiuso il bridge per impedire exploit su altri pool.
Il contratto intelligente e la piattaforma di sicurezza blockchain CertiK hanno spiegato l'hack su Twitter il 2 aprile. Dopo aver effettuato un prestito flash di 7.5 milioni di BUSD, l'hacker ha effettuato diversi swap e depositi nel pool di liquidità BUSD e USDT. Infine, l'attaccante ha manipolato il prezzo e ha scambiato 40 BUSD con quasi 2 milioni di USDT su Allbridge. Dall'attacco, l'hacker ha rubato "circa $ 549,874".
Subito dopo che l'hacking è stato scoperto sabato scorso, Allbridge ha offerto all'hacker la possibilità di presentarsi come un cappello bianco (un hacker etico che identifica anomalie, scappatoie in un pezzo di codice).
Secondo CertiK, nel secondo trimestre del 2022, 27 attacchi di prestito flash hanno visto il furto di 308 milioni di dollari. Il 31 marzo, Peckshield ha riferito che solo a marzo sono stati segnalati 26 hack.
La dichiarazione di Allbridge: "Vi preghiamo di contattarci tramite i canali ufficiali (Twitter/Telegram) o di inviare un messaggio tramite tx, in modo che possiamo considerare questo un hack da cappello bianco e discutere la taglia in cambio della restituzione dei fondi".
Tuttavia, Allbridge ha avvertito che stanno monitorando attivamente l'hacker tramite i social network con l'aiuto di "partner e comunità".
"Stiamo anche parlando con progetti che sono stati colpiti dall'hacker, che potrebbero aiutarci a individuare l'attaccante". Allbridge ha twittato. Allbridge ha aggiunto che sta lavorando con studi legali e forze dell'ordine per rintracciare l'hacker.
Euler Labs, un protocollo di prestito e prestito non detentivo, ha subito un exploit che ha spazzato via oltre 190 milioni di dollari il 13 marzo. Dopo le negoziazioni con l'hacker, Euler ha convinto l'hacker a restituire il 90% dei "fondi recuperabili".
I prestiti flash possono essere utilizzati per fare legittimamente se i prestiti generano profitto. Tuttavia, gli aggressori manipolano il contratto intelligente del protocollo per creare artificialmente opportunità di arbitraggio e incassare enormi somme nel processo. Quando enormi somme vengono prestate e ritirate istantaneamente, l'intero pool ne risentirà.
Dato che i prestiti flash sono un concetto relativamente nuovo (AAVE ha introdotto i prestiti flash nel 2020), ci vorrà del tempo prima che i protocolli siano completamente protetti dagli attacchi di prestito flash.
Andrew è uno sviluppatore blockchain che ha sviluppato il suo interesse per le criptovalute mentre era dopo la laurea. È un attento osservatore dei dettagli e condivide la sua passione per la scrittura oltre ad essere uno sviluppatore. La sua conoscenza di back-end sulla blockchain lo aiuta a dare una prospettiva unica alla sua scrittura
Fonte: https://www.thecoinrepublic.com/2023/04/06/allbridge-flash-loan-attack-hacker-accepts-bounty-returns-funds/