Агрегатор децентрализованной биржи утверждает, что Fulcrum, компания, стоящая за биржей bZx, была осведомлена об уязвимостях в своем коде по крайней мере за месяц до того, как получила два последовательных взлома, которые израсходовали 2,5 миллиона долларов из ее средств.
bZx, проект кредитования на основе Ethereum от Fulcrum, возможно, знал об ошибках в своей системе, которые позволили злоумышленникам извлечь из платформы ETH почти на 1 миллион долларов. По сообщениям, сайт агрегации децентрализованного обмена (DEX) 1inch.exchange обнаружил критическую ошибку в функции Flash Loan в Fulcrum еще в январе, но обмен не смог отреагировать и решить проблему.
Согласно 1inch.exchange’s (cредний пост), эта ошибка позволила украсть $ 2,5 миллиона средств пользователей на bZx за одну транзакцию. Компания заявила, что существует очень высокая вероятность того, что злоумышленники воспользуются ошибкой в смарт-контракте, и решила предупредить обмен о надвигающейся катастрофе.
«Команде Fulcrum потребовалось почти 4 часа, чтобы решить проблему, и мы не получили от команды никакой информации о ходе работы. Кроме того, развертывание исправления заняло еще 12 ЧАСОВ из-за особого времени обновления системы в смарт-контракте. Таким образом, было 16 часов, в течение которых каждый мог украсть 2,5 миллиона долларов».
Затем 1inch.exchange сказал, что Fulcrum отказался выплатить им «стандартную» премию за обнаружение уязвимости, и попросил их подписать соглашение о неразглашении (NDA), чтобы информация не была разглашена общественности.
Однако Fulcrum отрицал, что скрывал уязвимости от своих клиентов, поскольку соучредитель bZx Кайл Кистнер сказал The Block, что 1inch.exchange нарушил их политику раскрытия информации, опубликовав сообщение в блоге.
В настоящее время bZx находится в процессе вскрытия атаки, публикация которой запланирована на конец февраля.
Ранее на этой неделе bZx, проект кредитования на основе Ethereum от Fulcrum, стал жертвой двух атак, в результате которых компания потеряла ETH на сумму около 2,5 млн долларов.
Тем не менее, крипто-сообщество, похоже, разделено в отношении того, следует ли называть это злонамеренной атакой, поскольку дальнейшее расследование этого вопроса показало, что «злоумышленники» использовали сложный торговый маневр для выявления ошибок в функции Flash Loan bZx.
Согласно исследованию DeFi Pulse, злоумышленники взяли кредит в 7500 ETH и использовали половину его для покупки стабильной монеты в долларах США. Стабильные монеты были затем предоставлены в качестве обеспечения для другого займа 6796 ETH, а оставшиеся средства первого займа были использованы для повышения стоимости sUSD через сеть Kyber.
Затем злоумышленники использовали только что завышенный залог, чтобы вернуть первоначальный кредит в 7500 ETH, забрав оставшиеся 2 378 ETH или около 633 000 долларов. Первая атака bZx на прошлой неделе использовала похожую ошибку и извлекла ETH на сумму 350 000 долларов.
