Взлом Clipper DEX на $450 тыс не был вызван утечкой закрытого ключа
Децентрализованная биржа (DEX) Clipper пояснила, что уязвимость в ее функции вывода средств позволила украсть из протокола $450 000. Эксплоит не был вызван утечкой закрытого ключа, как предполагала «третья сторона».
Clipper сообщила в сообщении X, что злоумышленник использовал два пула ликвидности 1 декабря и заблокировал около 6% от их общей стоимости. Она добавила, что другие пулы не были затронуты, и эксплоит был прекращен.
«Были заявления третьих сторон, предполагающие утечку закрытого ключа, — написала Clipper. — Мы утверждаем, что это не так и не соответствует дизайну и архитектуре безопасности Clipper».
«Возможность вывода в виде только одного токена (объединенный своп + транзакция депозита/вывода) отключена, поскольку, по-видимому, это была эксплуатируемая функция», — добавили в нем.
Ранее соучредитель компании по безопасности Fuzzland Чаофань Шоу опубликовал на X сообщение о том, что Clipper был «взломан из-за уязвимости API (например, утечки закрытого ключа)», и добавил, что API, вероятно, имеет уязвимости, которые позволяют злоумышленнику подписывать запросы на депозит и вывод и красть больше средств, чем вложено.
Источник: Чаофань Шоу.
Clipper заявил, что расследует инцидент, и пообещал предоставить дальнейшие обновления. Он приостановил свопы и депозиты в своем протоколе. Выводы открыты, но они «должны быть в смеси всех активов в пуле», — говорится в сообщении.
Проект заявил, что отслеживает украденные средства в попытке вернуть их, и попросил хакера связаться с проектом, если он «готов говорить».
Хакеры украли более 1,48 млрд долларов США в криптовалюте к концу ноября 2024 года. Эта цифра на 15% меньше, чем за аналогичный период прошлого года, согласно отчету Immunefi от 28 ноября.