Токен блокчейна первого уровня Shido упал на 94% всего за 30 минут после того, как подвергся эксплоиту в контракте на стекинг в сети Ethereum.
Компания по безопасности блокчейнов PeckShield предупредила своих подписчиков об инциденте в сообщении на X от 29 февраля. Там говорится, что злоумышленнику удалось перенести контракт на стекинг Ethereum в блокчейне на другой адрес с новым владельцем, а затем обновить контракт скрытой функцией для вывода размещенных в стекинге токенов.
«Привет Shido Global! Внезапно произошел переход владельца на адрес 0x1982. Новый владелец немедленно обновляет контракт StakeV4Proxy, добавляя скрытую функцию вывода withdrawToken(). Затем вызывается эта скрытая функция для вывода всех 4 353 473 223,864904 SHIDO», – говорится в сообщении PeckShield Inc. (@peckshield) 29 февраля 2024 г.
PeckShield сообщил, что злоумышленник вывел более 4,3 миллиарда токенов Shido. По данным CoinGecko, это почти половина из почти 9 миллиардов находящихся в обращении токенов.
До падения цены на Shido эти токены стоили около 35 миллионов долларов.
В сообщении на X блокчейн-сыщик под псевдонимом ZachXBT сообщил, что адрес хакера финансировался с помощью криптовалюты, сначала связанной с межсетевым протоколом Layerswap, а затем с блокчейном Arbitrum (ARB).
ZachXBT обнаружил то, что, по его словам, было настоящей личностью владельца кошелька, который финансировал эксплоит, но сказал, что он, похоже, тоже был взломан, поскольку «его активы были внезапно переведены до финансирования эксплоита».
«Таким образом, адрес был профинансирован через Across на Arbitrum, а этот адрес был профинансирован через Layerswap этим человеком ENS. Я думаю, что он тоже был взломан, поскольку его активы были внезапно переведены до финансирования эксплоита», – поделился результататми расследования ZachXBT (@zachxbt) 29 февраля 2024 г.
Через несколько часов после начала инцидента команда Shido опубликовала официальное заявление, в котором говорилось, что они предупреждают о дальнейших угрозах в адрес Shido. В протоколе также говорилось, что они начали расследование, и призывали хакера связаться с ними, чтобы договориться о награде. Shido также пообещал, что пользователям, которые размещали свои токены в стекинге, будут возвращены их активы.
Shido (SHIDO) — это блокчейн первого уровня с доказательством доли, который еще не запустил свою основную сеть. В сообщении X от 24 февраля компания объявила о запуске своей основной сети «на следующей неделе».
Собственный токен блокчейна пока существует только в виде ERC-20 на базе Ethereum, который можно разместить в стекинге на подключенную децентрализованную биржу проекта (DEX) для получения годовой доходности 8%, согласно его веб-сайту.
По данным PeckShield, в прошлом году произошло более 600 хакерских атак, связанных с криптовалютами, с потерями в 2,1 миллиарда долларов, что почти на 30% меньше, чем в 2022 году, а в январе этого года произошло 30 атак с потерями в 182,5 миллиона долларов.
Февраль также может оказаться урожайным месяцем для хакеров: только из PlayDapp (PLA) за несколько дней было украдено 290 миллионов долларов, а в результате различных взломов кошельков и фишинговых атак украдено еще несколько миллионов долларов криптовалюты.