Содержание:
- 1 Текстовая выжимка
- 1.1 Incrypted: Как твое состояние? Есть ли понимание как это произошло?
- 1.2 Incrypted: Расскажи, пожалуйста, как это произошло? Какой был вектор атаки?
- 1.3 Incrypted: хакер явно был не бедным человеком, или одолжил у кого-то такую сумму денег?
- 1.4 Incrypted: то есть эти два адреса никак не связаны между собой?
- 1.5 Incrypted: в итоге, какая сумма ущерба?
- 1.6 Incrypted: правоохранительные органы какой юрисдикции?
- 1.7 Incrypted: есть юрисдикция, которая защищает, а есть та которая хочет показать, что что-то неправильно. Когда распределяться прибыль от протокола, то это больше похоже на security, чем на что-то другое. Что думаешь по этому поводу?
- 1.8 Incrypted: на других пулах не было следов атаки. Это твоя гипотеза, что все пулы скомпрометированы или это действительно так?
- 1.9 Incrypted: какие планы по устранению уязвимостей? Аудиты, Bug Bounty?
- 1.10 Incrypted: как ты думаешь, насколько такие случаи затрагивают индустрию мостов? Стоит ли мостам искать другие пути для работы?
Недавно на стриме у нас в гостях был СЕО проекта Allbridge Андрей Великий. К сожалению повод не очень радостный — мост Allbridge подвергся в злому на более чем $500,000. Но, Андрей все же согласился выйти с нами эфир и дал комментарии касательно сложившейся ситуации.
На стриме были затронуты следующие темы:
- Как произошла атака?
- Какой был вектор?
- Какова общая сумма ущерба?
- Какие планы по устранению уязвимостей?
- Как такие случаи влияют на индустрию мостов?
Текстовая выжимка
Incrypted: Как твое состояние? Есть ли понимание как это произошло?
Понимание появляется, чувствую себя действительно плохо, по понятным причинам. Это все началось еще ночью. И это была бессонная ночь разборок. Утром мы решали что делать дальше, и готовили заявление, потом готовили перезапуск интерфейса, чтобы большая часть пользователей получила доступ к ликвидности. Думаю, нас ждет еще долгий путь разгребания. Но по крайней мере, я смог выйти на связь и ответить на вопросы.
Incrypted: Расскажи, пожалуйста, как это произошло? Какой был вектор атаки?
Вектор атаки был поиск уязвимости в формуле по которой работает мост. Хакер взял много денег, много миллионов, забросил их в пул, как провайдер ликвидности и сделал своп. Затем с другой стороны сделал примерно такую же операцию, но в другом порядке. И соотношение того, как много средств он туда влил, к тому сколько денег было относительно него, сделало его владельцем этих пулов. И когда он прогнал всю операцию, то смог забрать больше денег, чем вложил изначально.
Причина этого, это действительно, наша ошибка, наша недоработка, здесь нет никаких слов оправдания. Мы не предусмотрели поведение моста в таких предельных значениях. Хотя многократно обращались в различные компании и делали аудит. Но и наши усилия, и наша экспертиза, и аудит не уберегли от этого.
Отчасти, атакующему удалось сделать эту атаку на наше желание открывать и верифицировать смарт-контракты. Буквально последний апдейт был за 2 дня до атаки и в сети появилось больше информации о нашем коде. Мне кажется, что хакер прочитал, как мы работаем, посчитал сколько нужно денег и провел эту операцию.
Incrypted: хакер явно был не бедным человеком, или одолжил у кого-то такую сумму денег?
Есть два адреса и есть два человека, которые воспользовались этой уязвимостью:
- Первый адрес: маркирован как хакер, который воровал деньги у других протоколов. Он нанес основной ущерб. Украденные средства вывел в BNB и кинул на Tornado. То есть он точно знал, что делать и пытается скрыться с этими деньгами.
- Второй адрес: повторил этот вектор атаки, смог достать 150,000 BUSD и сейчас они просто лежат на этом адресе. Мы думаем, что этот второй адрес может быть whitehat, который вступит с нами в коммуникацию и вернет часть средств.
Incrypted: то есть эти два адреса никак не связаны между собой?
У них кардинально разная модель поведения. Первый адрес провернул всю атаку сразу в своп, в BNB на Tornado. А другой хакер забрал BUSD и оставил у себя на кошельке. Мне кажется, что это два разных человека, с разными целями.
Incrypted: в итоге, какая сумма ущерба?
Суммарно, вывели около $560,000. Общий убыток может быть незначительно больше, из-за того, что были люди, которые пытались арбитражить. У нас экономика построена таким образом, что «если где-то сильно больше, где-то сильно меньше», то люди могут делать свопы в обратную сторону и потом выводить средства. Что происходит конкретно в данном случае? Хакер похищает огромный кусок денег, на мосту возникает неэффективность. На этом кто-то успел ночью заработать. И сейчас оттуда все заберут ликвидность и останется меньше чем было после атаки. Однако эта цифра не отразится на общей сумме. У меня нет 100% ответа, но отчет от PeckShield, в котором они опубликовали цифру $570 тыс., близок к правде. Что мы сделали в первую очередь когда разобрались? Мы погасили мост, чтобы остановить дальнейший отток средств. Хотя атака проходила на Binance Chain, но все наши пулы были скомпрометированы. Мы занимались тем, чтобы дать возможность людям, которые не пострадали, вывести свои деньги. Я также держал свои деньги в пулах и эта ситуация задела меня не только как фаундера компании, но и как человека, который держит там средства. В настоящее время наша команда ставит в приоритет пользователей и думаем над планом возврата средств. Этот план состоит из трех основных векторов. Первое, мы пытаемся связаться с хакерами. Второе, мы связываемся с правоохранительными органами, так как хакер, который отправил средства на Tornado, засветился в другом проекте.
Incrypted: правоохранительные органы какой юрисдикции?
Со мной связались люди из кибербезопасности, которые знают этот адрес. Жду от них каких-то действий. Пока не могу ответить в какой юрисдикции он находится, но допускаю, что это Китай. Ну и третье, что нас интересует, как сделать так, чтобы пользователи могли вернуть свои деньги, даже если хакеры не появятся. У меня пока нет никаких обещаний. Пока я склоняюсь к поведению Bitfinex. После того, как их взломали, они выпускали LEO (токен), как компенсацию. Я не уверен на 100%, что мы пойдем таким же путем. Мне кажется логичным перезапустить протокол, работать дальше, команда не будет получать ничего, а все средства идут на выплаты.
Incrypted: есть юрисдикция, которая защищает, а есть та которая хочет показать, что что-то неправильно. Когда распределяться прибыль от протокола, то это больше похоже на security, чем на что-то другое. Что думаешь по этому поводу?
Мы проконсультируемся с юристами. Но наша главная задача — это найти способ, как вернуть вкладчикам их деньги. Если нам нужно будет принимать какие-то риски, то мы будем это делать, потому что хотим исправить ситуацию.
Incrypted: на других пулах не было следов атаки. Это твоя гипотеза, что все пулы скомпрометированы или это действительно так?
Я исхожу из того, что если бы атака продолжилась, то все пулы пострадали бы. Не могу на 100% сказать, что хакер мог провести эту операцию на Tron и Solana, которые отличаются, но дублировать мог ее на других сетях. Но есть теория, что хакер специально атаковал BNB Сһаіn. Поэтому тут 50/50, либо не захотел, либо не успел.
Incrypted: какие планы по устранению уязвимостей? Аудиты, Bug Bounty?
Все выше перечисленное будет. Мы должны понять, почему именно формула, по которой мост рассчитывал передачу ликвидности дала сбой. И можно ли ее исправить.
Incrypted: как ты думаешь, насколько такие случаи затрагивают индустрию мостов? Стоит ли мостам искать другие пути для работы?
Эмоционально, мне жаль, что мы связались с этой индустрией. Потому что мосты постоянно подвергаются атакам. Учитывая то, что пострадали пользователи и мы хотим найти способ решения для них. А лучше всего мы умеем строить мосты, поэтому отказываться от них полностью трудно. Ну если ко мне кто-то придет и скажет, что хочет заниматься разработкой мостов и выпустить новый мост, то я бы посоветовал поискать другие способы для ведения бизнеса.
Напомним, что ранее мы уже проводили стрим «Строим мосты с Allbridge» вместе с Андреем Великим. Посмотреть его можно по ссылке.