Il protocollo Rubic della finanza decentralizzata cross-chain (DeFi) è stato compromesso, con il risultato che i fondi archiviati negli indirizzi dei suoi utenti sono stati sottratti e trasferiti agli hacker.
Il 25 dicembre, il protocollo Rubic ha annunciato che uno dei suoi contratti di instradamento era stato compromesso e tutti i contratti sarebbero stati interrotti fino a quando la situazione non fosse stata completamente compresa. L'annuncio diceva:
I creatori del protocollo hanno inoltre consigliato ai propri utenti di revocare l'autorizzazione del contratto tramite lo strumento revoke.cash. Un thread su Twitter della società di sicurezza informatica blockchain PeckShield spiega che una vulnerabilità nel protocollo Rubic ha portato a una perdita di $ 1.41 milioni di fondi direttamente dai portafogli che hanno autorizzato i suoi contratti intelligenti.
L'indirizzo dello sfruttatore ha ricevuto i fondi dal Uniswap scambio decentralizzato (DEX) nelle transazioni che coinvolgono la stablecoin USD Coin (USDC). PeckShied ha spiegato che l'hack è stato reso possibile grazie all'errata aggiunta di USDC nei router supportati. Inoltre, "una mancanza di convalida in ruterCallNative" ha consentito anche l'uso dannoso del contratto.
Una rapida analisi del contratto intelligente con l'aiuto di chatGPT suggerisce che la funzione ruterCallNative contiene numerose potenziali vulnerabilità, incluso l'input invalidato per i parametri "_params" e "_data". Questi potrebbero consentire a un utente malintenzionato di trasmettere input dannosi che potrebbero comportare un comportamento errato o non intenzionale.
Inoltre, il parametro "_gateway" passato alla funzione è illimitato, consentendo potenzialmente a un utente malintenzionato di creare un contratto e farlo eseguire dal contratto RubicProxy.
Anzi, l'aggressore schierato uno smart contract personalizzato utilizzato nell'attacco. Il bytecode decodificato mostra le 337 righe di codice che hanno consentito all'aggressore di eseguire l'attacco nel modo più efficiente possibile.
L'indirizzo dell'hacker ha ricevuto prima un 1,161.55 Ethereum (ETH) e un altro trasferimento di 26.88 ETH, entrambi dal protocollo Uniswap che sottrae esclusivamente USDC e lo scambia con ethereum avvolto (WETH). Tutto questo WETH è stato successivamente inviato a un mixer on-chain e a un'entità sanzionata Tornado Cash rendere anonimi i fondi illeciti.
L'analisi on-chain mostra che transazioni in entrata per un valore di 1.45 milioni di dollari inviate al servizio di anonimizzazione delle monete hanno avuto origine dall'indirizzo dell'hacker, su un valore totale in entrata per il servizio di circa 2.9 milioni di dollari. In altre parole, circa la metà dei beni inviati oggi al mixer sono stati inviati dallo sfruttatore.
Nonostante i fondi dell'hacker costituiscano una parte così significativa del volume delle transazioni in entrata del servizio, il loro anonimato è ancora sostanziale. Il deposito potrebbe essere tra i $ 2 milioni di prelievi da Tornado Cash elaborati oggi o tra i $ 174 milioni di asset ancora depositati nel contratto intelligente.
Tornado Cash è un protocollo DeFi ora illegale che consente agli utenti di eseguire trasferimenti anonimi sulla blockchain di Ethereum. Il protocollo utilizza prove a conoscenza zero (prove ZK) per nascondere gli indirizzi di input e output delle transazioni. È difficile per i terzi determinare l'identità delle parti coinvolte nella transazione o lo scopo specifico del trasferimento.
Tornado Cash è un progetto open source costruito sulla blockchain di Ethereum e accessibile a chiunque disponga di un portafoglio Ethereum. Gli utenti possono interagire con il contratto Tornado Cash utilizzando il loro portafoglio Ethereum o un'interfaccia web ancora disponibile tramite il servizio di hosting decentralizzato InterPlanetary File System (IPFS). Possono eseguire trasferimenti anonimi di ETH o token conformi allo standard ERC-20 inviando i loro fondi al contratto Tornado Cash e ritirandoli a un nuovo indirizzo.
La notizia segue di recente rapporti che gli hacker nordcoreani hanno rubato circa 1.2 miliardi di dollari in criptovalute e altre risorse virtuali negli ultimi cinque anni. La maggior parte di questi attacchi è avvenuta solo nel 2021.
Fonte: https://crypto.news/rubic-dex-aggregator-hack-leads-to-1-4m-of-user-funds-stolen/