Venus прекращает обслуживание после того, как кит потерял $13,5M в результате фишинговой атаки

Ключевые выводы:

• Протокольный кит Venus потерял 13,5 миллионов долларов в результате сложной фишинговой атаки 1 сентября.
• Злоумышленник получил разрешение на заимствование и погашение через взломанное расширение кошелька.
• Протокол приостановил операции, чтобы хакер не смог получить доступ к оставшимся средствам.

Кит Venus Protocol на BNB потерял около 13,5 миллионов долларов, став жертвой сложной фишинговой атаки , которая скомпрометировала позиции пользователя 1 сентября в 15:26 UTC, согласно данным о цепочке и отчетам компаний по безопасности.

Атака заставила Протокол Venus приостановить работу сразу же после обнаружения инцидента. Протокол подтвердил, что смарт-контракт остается безопасным, пока продолжалось расследование целенаправленного нападения на одного из его крупнейших пользователей.

Целевая атака скомпрометировала аппаратную настройку кошелька

Охранная фирма Beosin первоначально сообщила о потерях, превышающих 27 миллионов долларов , после чего компания PeckShield исправила цифру примерно до 13,5 миллионов долларов . Расхождение произошло из-за того, что в первоначальных расчетах из общей суммы убытков не были исключены долговые обязательства кита.

В своем анализе компания PeckShield отметила, что “первоначальные оценки были выше, так как мы не исключили долговую позицию”. Это исправление позволило более точно оценить фактические средства, выведенные из позиций кита Venus Protocol.

Текущие позиции эксплойтеров | Источник: DeBank

Юй Сянь, основатель охранной фирмы SlowMist, представил подробный анализ метода атаки 2 сентября. Расследование показало, что кит использовал аппаратный кошелек. Тем не менее, злоумышленники скомпрометировали соответствующее расширение кошелька на компьютере жертвы.

Сиань объяснил :

“Когда пользователь выполнил обычную операцию redeemUnderlying, она была заменена операцией updateDelegate”.

Замена давала атакующему право заимствовать и выкупать позиции кита без ведома жертвы.

Атака использовала уязвимость в настройке комбинации между аппаратными кошельками и расширениями для браузеров. Несмотря на использование того, что многие считают наиболее безопасным способом хранения данных, кит стал жертвой сложных приемов социальной инженерии.

Северокорейские хакеры подозреваются в преднамеренной атаке

Атака имела признаки тщательного планирования и сложные источники финансирования. Плата за газ для атаки поступила с биржи Monero (XMR), в то время как другие средства были отслежены на eXch, ранее попавшей под санкции темной веб-биржи, которую предпочитают северокорейские хакеры .

Расследование Сиана выявило структуру финансирования, которую использовали злоумышленники.

“Хакер действовал очень преднамеренно, с довольно сложными источниками финансирования, среди которых газ поступал с бирж XMR”.

Связь с eXch вызвала дополнительные тревожные сигналы у исследователей безопасности. Эта биржа была подвергнута санкциям и удалена, а ее предыдущие модели использования были связаны с хакерскими группами, спонсируемыми северокорейским государством и нацеленными на криптовалютные платформы и пользователей.

Анализ, проведенный Сианем, показал, что кит был специально выбран в качестве мишени, а не попал под более широкое нападение.

В результате, по мнению SlowMist, после тщательного расследования взлом фронтэнда Venus Protocol был маловероятен, а атака потенциально была направлена исключительно на отдельного пользователя.

“Компьютер крупного держателя, возможно, подвергся целенаправленной отравляющей атаке”, – пояснил Сиань, описывая, как злоумышленники, вероятно, получили доступ к системе жертвы, прежде чем выполнить слив протокола Venus.

Venus приостанавливает протокол, чтобы защитить оставшиеся средства

Протокол Venus быстро отреагировал, чтобы защитить оставшиеся активы жертвы. Команда подтвердила прямой контакт с пострадавшим китом и обязалась держать протокол в режиме паузы во время восстановительных работ.

Протокол Венеры заявил:

“Мы знаем о том, что кошелек пользователя был опустошен (смарт-контракт в безопасности), и активно проводим расследование. В настоящее время Venus приостановлен в соответствии с протоколами безопасности”.

В протоколе было отмечено, что возобновление работы позволило бы хакеру получить доступ к дополнительным средствам, что свидетельствует о том, что для команды защита пользователей была приоритетнее времени работы протокола.

Это решение отражает приверженность протокола безопасности пользователей, несмотря на потенциальные потери дохода от приостановленных операций.

“Venus не был использован, но мы стремимся защитить наших пользователей. Если протокол возобновится сейчас, хакер получит средства пользователя”.

Компания SlowMist координировала с жертвой усилия по восстановлению, сохраняя конфиденциальность расследования. Сиань предупредил, что “реальный ущерб также не является точным, возможно, он не превысил 20 миллионов долларов США”, поскольку расследование продолжается.

Этот инцидент выявил уязвимости в защите расширения кошелька, несмотря на использование аппаратных кошельков.

Атака продемонстрировала, как изощренные угрозы могут обойти традиционные меры безопасности путем целенаправленного взлома компьютеров и социальной инженерии, а не прямой эксплуатации протоколов.

Кит на протоколе Venus потерял около $13,5 млн. в результате сложной фишинговой атаки, которая скомпрометировала аппаратный кошелек, заставив протокол приостановить работу. Компании, занимающиеся вопросами безопасности, связали целенаправленный взлом с северокорейскими группами, хотя Venus подтвердил, что его смарт-контракты остались в безопасности.