rbc.ru
Злоумышленник взломал криптовалютный сервис Onyx Protocol и похитил криптовалюту на сумму $2,1 млн. По данным The Block, хакер воспользовался уязвимостью в программном коде протокола и похитил средства при помощи так называемой атаки флеш-кредита.
Флеш-кредит (flash loan) — это инновационный механизм, разработанный в экосистеме децентрализованных финансов (DeFi). Он позволяет пользователям занимать крупные суммы криптовалюты без залога, при условии, что заем будет возвращен в течение одной транзакции. Такая функция была придумана для реализации сложных финансовых стратегий, требующих большого капитала на короткое время, а также для арбитража и быстрого обеспечения ликвидности в короткое время.
Атаки с помощью флеш-кредита (с англ. flash loan attack) — один из самых распространенных и дешевых видов атак в индустрии децентрализованных финансов. Ее смысл заключается в том, что злоумышленник использует заемные через флеш-кредит средства для манипуляции ценами на рынке и тем самым зарабатывает прибыль.
Иными словами, флеш-кредит — это большая сумма заемных средств, которые можно взять сколько угодно ровно на минуту. Хакеры используют этот механизм, чтобы взять много денег, произвести манипуляцию ценами на децентрализованных биржах и заработать прибыль. Все это продумывается злоумышленниками заранее и при помощи специального программного кода происходит практически мгновенно в рамках одной транзакции в блокчейне.
В данной атаке хакер через флеш-кредит взял взаймы большое количество монет Ethereum, конвертировал их в мемкоин PEPE и внес в специализированный пул сервиса Onyx Protocol. В пуле он сыграл на курсе монеты, за счет чего получил еще больше средств. Уязвимость в коде сервиса позволила ему изъять эти средства из протокола и распределить по собственным подконтрольным кошелькам.
По данным сервиса Etherscan, хакер уже успел отправить 700 ($1,25 млн) монет Ethereum в криптомиксер Tornado Cash.
В октябре сервис безопасности криптовалютных активов ШАРД опубликовал исследование, в котором сообщил, что суммарный ущерб от хакерских атак на криптосервисы в третьем квартале 2023 года составил $640 млн, что почти вдвое превышает показатель предыдущего квартала.
Ранее компания PeckShield оценила стоимость украденных хакерами криптовалют с начала 2023 года более чем в $1,15 млрд, причем почти треть от этих потерь пришлась на сентябрь — более $355 млн.