30 января в новостных каналах в сфере криптовалют появилась новость о несанкционированном доступе к DeFi-протоколу Abracadabra Finance. Сумма ущерба составила ≈ $6.5 млн, выводы производились в токене MIM (Magic Internet Money – стейблкоин 1к1 привязанный к доллару (USD), собственный токен Abracadabra Finance). В своем Twitter пострадавшая сторона сообщила, что проблема полностью устранена и передвижение украденных средств отслеживается, а залоговое обеспечение пользователей не пострадало.
Abracadabra - это децентрализованный протокол кредитования в криптовалюте, который принимает в качестве залога процентные токены (ibTKN) и выдает заем пользователям в стейблкоине MIM, имея который можно принимать участие в различных проектах DeFi протокола.
Вскоре после происшествия пострадавшая сторона обратилась к злоумышленнику с сообщением в сети ethereum с просьбой вернуть украденные активы, с обещанием вознаграждения за найденную уязвимость системы:
«Здравствуйте, мы решаем недавнюю проблему безопасности, которую вы нашли в нашей системе. Мы склонны полагать, что ваши действия были мотивированы намерениями «этичного хакера» («white hat») и готовы к диалогу по сложившейся ситуации. Для взаимной уверенности мы просим вас предоставить внутрисетевую подпись вместе с вашим первым ответом, это подтвердит, что мы общаемся с нужной стороной. С нетерпением ожидаем обратной связи»
Рис. 1 - обращение к злоумышленнику. Хэш транзакции - 0x5241ed2cd7fe47d3872f46c246a4db8491e363a4f2cd3a9fe788156972557426
Основная часть
Весь процесс от вывода средств с протокола до обмена в другой токен и распределения украденных активов между адресами злоумышленников произошел в течение часа. Перед выводом средств с протокола, на их адреса поступала криптовалюта по 1 eth (≈2 311 usd) с миксинг сервиса. После этого последовали выводы MIM с протокола Abracadabra Finance.
Для вывода активов с протокола, MIM сначала направляется на контракты Dex-платформы Curve[.]fi для обмена в другой токен. Таким образом средства были обменяны в eth.
Далее полученные активы в eth были направлены на определенный адрес отмеченный «exploiter address 1».