В воскресенье сотрудники UpBit обнаружили, что на платформу был внесен мошеннический депозит, при этом злоумышленникам удалось выдать поддельный токен за проверенный криптоактив Aptos. Система UpBit ошибочно идентифицировала фальшивый криптоактив, что позволило боту внести большое количество фейковых монет в учетные записи пользователей.
Нарушение безопасности затронуло около 100 000 адресов, на которых находились токены APT. Обнаружив проблему, специалисты UpBit немедленно приняли меры для защиты пользователей, приостановив ввод и вывод APT для проведения технического обслуживания системы кошельков Aptos.
Несколько южнокорейских криптотрейдеров, ведущих учетную запись в X (Твиттере) под названием Definalist, раскрыли детали произошедшего. Definalist выяснил, что поддельные APT не были связаны с Aptos Network, а оказались токенами под названием «ClaimAPTGift».
Проблема возникла из-за того, что система UpBit не проверила должным образом тип передаваемых токенов, ошибочно приняв эти разные криптоактивы за один и тот же токен APT. Система должна была проверить их соответствие определенным условиям.
Однако серьезных проблем удалось избежать благодаря тому, что у фейкового токена шесть десятичных знаков, тогда как у токенов Aptos — восемь десятичных знаков. Если бы фальшивый токен тоже использовал 8-значную систему, тысячи пользователей могли заполнить рынок криптоактивами APT по завышенной стоимости, и это нанесло бы огромный ущерб бирже.
Напомним, что в прошлом году UpBit заявила о готовности компенсировать убытки пользователям, которые из-за сбоя в мессенджере KakaoTalk не смогли своевременно совершить сделки.