FEG потеряла $900 тыс. из-за уязвимости в мосту Wormhole

Минувшее воскресенье стало роковым для платформы FEG. Хакеры атаковали сети Ethereum, BSC и Base, похитив более $900 тыс. в цифровых активах. О подробностях атаки рассказали исследователи BlockSec Phalcon. В основе проблемы оказалась уязвимость в механизме обработки сообщений моста Wormhole.

Как выяснили исследователи, релеер, который отвечает за регистрацию вывода средств, не проверял, может ли источник сообщения активировать эту функцию. Это позволило злоумышленникам обмануть систему и вывести крупные суммы токенов FEG.

Пример атаки на Binance Smart Chain (BSC) показывает, как действовали хакеры. Сначала они отправили сообщение с вредоносным кодом через сеть Base. Затем релеер ошибочно разрешил вывод средств на BSC. В итоге злоумышленники перевели токены на свои адреса и извлекли прибыль.

Разработчики FEG подтвердили, что проблема затронула только мост Wormhole, в то время как основной код SmartDeFi остался в безопасности. Тем не менее, работа протокола была временно приостановлена для предотвращения новых атак. Для расследования инцидента команда FEG привлекла компанию PeckShield и других. По словам разработчиков, Wormhole уже проходила аудит, однако найденная уязвимость оказалась неучтенной. Отчет об аудите опубликован для открытого изучения.

Централизованные биржи получили уведомления о приостановке торговли токенами FEG, чтобы минимизировать возможные последствия. Разработчики заверяют, что безопасность пользователей остается приоритетом, и работа над устранением проблемы продолжается.

Этот случай подчеркивает важность регулярных проверок безопасности даже для уже аудированных решений. Команда FEG пообещала предоставить дальнейшие обновления по мере поступления новой информации.

Ошибка в тексте? Выделите её мышкой и нажмите Ctrl + Enter

Источник