6,2 млн долларов украденных средств SagaEVM прослежены до депозитов в Tornado Cash

Источник: CryptoNewsNet Оригинальный заголовок: $6.2M украденных средств во время эксплойта SagaEVM были внесены в Tornado Cash Оригинальная ссылка: $6.2 миллиона украденных средств во время эксплойта SagaEVM были прослежены до депозитов в Tornado Cash, приватном миксере на Ethereum, который помогает скрыть следы транзакций.

Тактика является распространенной среди хакеров, пытающихся отмыть значительные украденные средства и сделать их возврат практически невозможным.

Эксплойт, нацеленный на SagaEVM, описанный как L1 для запуска L1, произошел 21 января. После инцидента команда сообщила, что L1 был приостановлен на блоке 6593800 в ответ на подтвержденный эксплойт в цепочке SagaEVM.

Как хакеры отмывали украденные средства

Согласно отчету компании по безопасности блокчейнов CertiK, злоумышленники изначально распределили средства по пяти отдельным кошелькам, прежде чем направить их в приватный миксер через несколько транзакций.

“Меры по устранению принимаются, и команда полностью сосредоточена на решении,” — писали они в то время.

Эксплойт привел к переводу почти $7,000,000 в USDC, yUSD, ETH и tBTC на основную сеть Ethereum. Кошелек злоумышленника был идентифицирован и передан биржам и мостам для его блокировки и возможного возврата украденных средств.

Согласно отчету CertiK, $6.2 миллиона из этих средств теперь разделены и внесены в депозиты в миксер Tornado Cash. Ожидается, что это усложнит восстановление и устранение последствий.

Последний депозит увеличивает известность Tornado Cash, добавляя к прошлым проблемам, связанным с санкциями США и юридическими вопросами, до сих пор преследующими его разработчиков.

Злоумышленники продолжают использовать его для скрытия своих следов после эксплойта, и он делает именно то, для чего был создан — помогает им исчезнуть.

Что случилось с SagaEVM?

Согласно постмортему, опубликованному командой 21 января, инцидент включал скоординированную последовательность развертываний контрактов, межцепочечной активности и последующих выводов ликвидности.

В документе говорится, что команда приостановила цепочку из-за чрезмерной осторожности, пока активно расследовала и устраняла последствия. Было указано, что целью было остановить дальнейшее воздействие, удерживая SagaEVM в состоянии паузы, пока реализуются меры по устранению; проверить весь радиус воздействия с помощью архивных данных и трассировок выполнения; и укрепить соответствующие компоненты перед перезапуском.

Основные компоненты, затронутые эксплойтом, включают цепочку SagaEVM, а также Colt и Mustang. Другие, такие как основной сетевой узел Saga SSC, консенсус протокола Saga, безопасность валидаторов и другие цепочки Saga, остались без повреждений.

“Не было сбоев в консенсусе, компрометации валидаторов или утечки ключей подписания,” — говорится в документе. “Общая сеть Saga остается структурно устойчивой.”

Команда заявила, что следующими шагами будет завершение проверки причины, исправление и укрепление затронутых межцепочечных и развертывающих компонентов, координация с партнерами по экосистеме там, где это необходимо, и публикация более подробного технического постмортема.

Уязвимость связана с Cosmos

После получения поддержки от инженеров Cosmos Labs команда раскрыла, что проблема возникла из исходного кода Ethermint, что делает ее наследственной.

В ответ на этот пост Cosmos Labs опубликовала заявление, признавая, что они осведомлены о инциденте и заявляя, что тесно сотрудничают с Saga и внешними партнерами по безопасности для расследования и устранения “подтвержденной уязвимости.”

Они сообщили, что связались с частью цепочек EVM, которые, по их мнению, пострадали от инцидента, и предоставили краткосрочные меры по устранению.

“Как всегда, мы рекомендуем всем проектам продолжать внедрять базовые практики безопасности, такие как ограничение скорости и мониторинг безопасности, для усиления раннего обнаружения и устранения угроз,” — написали они.