30 января в новостных каналах в сфере криптовалют появилась новость о несанкционированном доступе к DeFi-протоколу Abracadabra Finance. Сумма ущерба составила ≈ $6.5 млн, выводы производились в токене MIM (Magic Internet Money – стейблкоин 1к1 привязанный к доллару (USD), собственный токен Abracadabra Finance). В своем Twitter пострадавшая сторона сообщила, что проблема полностью устранена и передвижение украденных средств отслеживается, а залоговое обеспечение пользователей не пострадало.

 

Abracadabra - это децентрализованный протокол кредитования в криптовалюте, который принимает в качестве залога процентные токены (ibTKN) и выдает заем пользователям в стейблкоине MIM, имея который можно принимать участие в различных проектах DeFi протокола.

 

Вскоре после происшествия пострадавшая сторона обратилась к злоумышленнику с сообщением в сети ethereum с просьбой вернуть украденные активы, с обещанием вознаграждения за найденную уязвимость системы: 

 

«Здравствуйте, мы решаем недавнюю проблему безопасности, которую вы нашли в нашей системе. Мы склонны полагать, что ваши действия были мотивированы намерениями «этичного хакера» («white hat») и готовы к диалогу по сложившейся ситуации. Для взаимной уверенности мы просим вас предоставить внутрисетевую подпись вместе с вашим первым ответом, это подтвердит, что мы общаемся с нужной стороной. С нетерпением ожидаем обратной связи»

 

Рис. 1 - обращение к злоумышленнику. Хэш транзакции - 0x5241ed2cd7fe47d3872f46c246a4db8491e363a4f2cd3a9fe788156972557426

 

Основная часть

 

Весь процесс от вывода средств с протокола до обмена в другой токен и распределения украденных активов между адресами злоумышленников произошел в течение часа. Перед выводом средств с протокола, на их адреса поступала криптовалюта по 1 eth (≈2 311 usd) с миксинг сервиса. После этого последовали выводы MIM с протокола Abracadabra Finance.

Для вывода активов с протокола, MIM сначала направляется на контракты Dex-платформы Curve[.]fi для обмена в другой токен. Таким образом средства были обменяны в eth.

 

Далее полученные активы в eth были направлены на определенный адрес отмеченный «exploiter address 1».

Рис. 2 - Визуализация. Движение средств в eth через адреса злоумышленника

 

С него распределены между двумя адресами «exploiter address 2» и «exploiter address 3», где в данный момент остаются активы. Снизу отображен еще один адрес злоумышленников «exploiter address 4» с которого было отправлено 1.779448 eth, полученные от миксинг сервиса до вывода MIM, которые также хранятся на адресе «exploiter address 3».

 

Итоги

 

На данный момент злоумышленник не вышел на связь для переговоров по обращению пострадавшей стороны, а средства в ETH остаются на размеченных адресах «exploiter address 2» и «exploiter address 3». В связи с прозрачностью технологии блокчейн и своевременной реакцией команды Abracadabra, транзакции вывода средств удалось отследить и адреса злоумышленников размечены как высокорискованные. 

 

Несмотря на то, что на сегодняшний день злоумышленники не вывели активы со своих адресов, движение средств может возобновиться в будущем. Во избежание получения высокорискованных депозитов и впоследствии блокировки активов на централизованных платформах, при работе с криптовалютой важно использовать AML-сервисы, отображающие Risk Score адреса. А также биржам/обменным сервисам необходимо относиться с повышенным вниманием к активам поступающим с Dex-платформ и проверять источник происхождения полученных средств, в связи с нередкими случаями «отмывания» незаконно полученных средств через них.