DeFi-протокол Indexed Finance идентифицировал хакера как очень молодого

В минувший четверг проект в сфере децентрализованных финансов (DeFi) Indexed Finance потерял $16 млн в результате хакерской атаки, и команда протокола заявила, что знает, кто это сделал.

Indexed Finance — это DeFi-проект на базе Ethereum, который выпускает токены, отслеживающие рыночные индексы. Хакер украл активы, которые поддерживали стоимость индексных токенов, обнаружив уязвимость в смарт-контрактах протокола.

Атака была типичной для уязвимостей DeFi: хакер обманул механизм флэш-кредита, перегрузив протокол новыми активами. Это снизило цену токенов Indexed, что позволило злоумышленнику выпустить новые токены и обналичить их.

Два из шести активов в протоколе DEFI5 и CC10 (индексные токены, которые отслеживают крупные проекты DeFi) потеряли большую часть своей стоимости.

Через час после взлома цена DEFI5 упала на 85% — с $ 88,73 до $ 3,67 (данные CoinGecko). CC10 потерял 98% своей стоимости, хотя до взлома он торговался за $ 62,50, после цена снизилась до $0,74.

32-летний участник Indexed DAO Лоренс Дэй сообщил, что три других индексных токена DEGEN, NFTP и ORCL5 находятся в безопасности. Что касается шестого актива FFF, метаиндекса, содержащего DEFI5 и CC10, то он был сильно повреждён, в связи с чем его текущую версию нужно будет закрыть. Он добавил, что будет составлен план компенсации.

По словам Дэя, уже в пятницу участники проекта идентифицировали хакера, потому что он недостаточно хорошо замёл свои следы. Затем ему поставили ультиматум вернуть деньги к полуночи субботы, либо команда обратится в правоохранительные органы.

The 10% offer has expired. The attacker has until EOD to return 100% of the stolen funds or his information will be published and law enforcement notified.https://t.co/am2XnwL5fD

— Indexed Finance (@ndxfi) October 16, 2021

Но затем члены DAO заявили в Твиттере о приостановлении заявленных действий, поскольку они выяснили, что хакер «значительно моложе, чем думали».

Дэй рассказал, что проект находится в «крайне напряжённой ситуации», и дальнейший план действий всё ещё не определён. При это он не упомянул, вела ли команда переговоры с хакером.

Тем не менее он сказал, что несколько человек из команды протокола установили личность хакера и обязали его вернуть деньги, так что «выбор за злоумышленником».

Ультиматум ещё не выполнен.

 

За несколько минут до истечения крайнего срока @ZetaZeroes внёс изменения в свои учётные записи, благодаря чему мы поняли, что злоумышленник значительно моложе, чем мы думали.

The ultimatum has not been met.

In the minutes before the deadline elapsed, @ZetaZeroes made changes to his accounts that have made us realise at the last minute that the attacker is significantly younger than we thought.

— Indexed Finance (@ndxfi) October 17, 2021

Дэй не сообщил, обратятся ли они в правоохранительные органы.

DeFi или децентрализованные финансы, — это универсальный термин для проектов, которые хотят автоматизировать традиционные финансовые инструменты по типу банков. Они предоставляют ссуды, выплачивают проценты и позволяют совершать обмен активами без привлечения банков или других посредников, используя смарт-контракты — фрагменты кода, выполняющие определённые инструкции.

Большинство из них построены на Ethereum — блокчейне второй по величине рыночной капитализации криптовалюты.

Однако DeFi — экспериментальная индустрия, и её протоколы совсем новые и подвержены взлому. Indexed не первая компания, пострадавшая от такого крупного эксплойта. Список взломов DeFi-проектов в этом году длинный: только в прошлом месяце pNetwork потеряла $ 12,5 млн, а NFT-проект под названием Vee Finance понёс потери в размере $ 35 млн.

В августе хакер украл $ 25 млн с платформы по предоставлению и получению займов Cream Finance.

Многие проекты смогли вернуть часть украденных средств, но масштабные взломы, происходящие каждый месяц, напоминают о том, что это новое, экспериментальное и рискованное пространство.

Лоренс Дэй добавил, что для предотвращения взломов DeFi нужны аудиторы, и что «в этой сфере крайне мало высококвалифицированных специалистов».