Платформа предлагает хакеру 20% за возврат средств.
25 марта De-Fi платформа Abracadabra Finance подверглась масштабной атаке, в результате которой злоумышленники похитили более 6200 токенов Ethereum. По текущему курсу ущерб оценивается примерно в 12,9 миллиона долларов.
Хотя компания пока не подтвердила окончательную сумму потерь, инцидент был официально признан в соцсетях. Как указано в публикации, уязвимость была обнаружена в компоненте «cauldrons» — изолированные пулы займов, позволяющие пользователям брать кредиты под обеспечение различными криптовалютами.
Abracadabra Finance заявила, что инцидент расследуется профильными инженерами и разработчиками, а также подчеркнула, что каждый из пулов прошёл аудит сторонними специалистами. Несмотря на наличие систем защиты, атака была обнаружена лишь после того, как киберпреступник совершил несколько транзакций. На данный момент Abracadabra Finance занимается оценкой нанесённого ущерба. За отслеживание похищенных средств взялась компания Chainalysis.
Платформа предложила хакеру вознаграждение в виде 20% от украденной суммы, чтобы побудить вернуть хотя бы часть активов. При этом официальный сайт Abracadabra Finance был временно отключён, и размещено сообщение о недоступности пользовательского интерфейса.
Некоторые ИБ-специалисты связывают атаку с децентрализованной биржей GMX — именно токены, предоставленные этой платформой, использовались в качестве обеспечения в системе займов Abracadabra. Однако представители GMX заявили , что их смарт-контракты не пострадали, и никаких проблем на стороне биржи не зафиксировано.
Анализ Slow Mist показал, что средства, использованные хакером на начальном этапе атаки, поступили через криптомиксер Tornado Cash. Сервис был ранее внесён в санкционный список Минфином США из-за использования хакерами из КНДР для отмывания похищенных криптоактивов. А недавно Апелляционный суд в США признал действия Минфина незаконными, отменив санкции против Tornado Cash. Решение открыло сервису путь к повторному использованию, что, по мнению экспертов, могло повлиять на текущую атаку.
Таким образом, атака на Abracadabra Finance стала ещё одним напоминанием о рисках, связанных с децентрализованными финансовыми платформами. Даже при наличии аудита и защитных механизмов злоумышленники находят способы обойти систему.