6,2 млн доларів США викрадених коштів SagaEVM прослідковано до депозитів у Tornado Cash

Джерело: CryptoNewsNet Оригінальна назва: $6.2M викрадених коштів під час експлойту SagaEVM було внесено до Tornado Cash Оригінальне посилання: $6.2 мільйони викрадених коштів під час експлойту SagaEVM були простежені до депозитів у Tornado Cash, приватному міксері на Ethereum, який допомагає приховати сліди транзакцій.

Тактика є поширеною серед хакерів, які намагаються відмити значні викрадені кошти і зробити їх відновлення майже неможливим.

Експлойт, що націлювався на SagaEVM, описаний як L1 для запуску L1, стався 21 січня. Після інциденту команда повідомила, що L1 було призупинено на висоті блоку 6593800 у відповідь на підтверджений експлойт у ланцюжку SagaEVM.

Як хакери відмивали викрадені кошти

Згідно з доповіддю компанії з безпеки блокчейнів CertiK, зловмисники спочатку розподілили кошти по п’яти окремих гаманцях, перш ніж переказати їх у приватний міксер через кілька транзакцій.

“Міри зменшення ризиків вже вживаються, і команда повністю зосереджена на пошуку рішення,” — писалося тоді у повідомленні.

Експлойт призвів до переказу майже $7,000,000 у USDC, yUSD, ETH і tBTC на основний мережевий рівень Ethereum. Гаманець зловмисника був ідентифікований і переданий біржам і мостам для його чорного списку та, можливо, повернення викрадених коштів.

Згідно з доповіддю CertiK, $6.2 мільйони з цих коштів тепер розподілені у депозити, внесені у міксер Tornado Cash. Це, ймовірно, ускладнить зусилля з відновлення та відшкодування.

Останній депозит додає до репутації Tornado Cash, що вже має історію з американськими санкціями та юридичними проблемами, які досі турбують його розробників.

Зловмисники продовжують використовувати його для приховування своїх слідів після експлойту, і він робить саме те, для чого був створений — допомагає їм зникнути.

Що сталося з SagaEVM?

Згідно з пост-мортемом, який команда опублікувала 21 січня, інцидент включав скоординовану послідовність розгортання контрактів, міжланцюгову активність і подальше зняття ліквідності.

У документі зазначалося, що команда призупинила ланцюг з обережності, поки активно досліджувала і зменшувала наслідки. Було виявлено, що основна мета — зупинити подальший вплив, тримаючи SagaEVM призупиненим, поки впроваджуються заходи з пом’якшення; підтвердити масштаб поширення за допомогою архівних даних і трас виконання; і посилити відповідні компоненти перед перезапуском.

Основні компоненти, які постраждали від експлойту, включають ланцюжок SagaEVM, а також Colt і Mustang. Інші, такі як основна мережа Saga SSC, консенсус протоколу Saga, безпека валідаторів та інші ланцюжки Saga, залишилися неушкодженими.

“Не було порушення консенсусу, компрометації валідатора або витоку ключів підписувача,” — йдеться у документі. “Широка мережа Saga залишається структурно цілісною.”

Команда заявила, що її наступними кроками буде завершення валідації кореневої причини, виправлення та посилення уразливих компонентів міжланцюгової взаємодії та розгортання, координація з партнерами екосистеми там, де це потрібно, і публікація більш детального технічного пост-мортему.

Вразливість повертається до Cosmos

Після отримання підтримки від інженерів Cosmos Labs команда повідомила, що проблема виникла з оригінальної кодової бази Ethermint, що робить її спадковою проблемою.

У відповідь на цей пост Cosmos Labs опублікували заяву, в якій визнавали, що вони знають про інцидент і заявляли, що тісно співпрацюють із Saga та зовнішніми партнерами з безпеки для дослідження та усунення “підтвердженої вразливості.”

Вони повідомили, що зв’язалися з підмножиною EVM-ланцюжків, які вважалися ураженими інцидентом, і надали короткострокові заходи з пом’якшення.

“Як завжди, рекомендуємо всім проектам продовжувати впроваджувати базові практики безпеки, такі як обмеження швидкості та моніторинг безпеки, щоб посилити раннє виявлення та реагування,” — написали вони.