האקר שדד עשרות מיליוני דולרים – מפרצה שכולם מכירים
פרצה בדרך שבה ניתן לקחת הלוואות קריפטו, הידועה בתחום כבר חודשים רבים אך טרם תוקנה על ידי כל הארגונים בתחום, איפשרה להאקר לבצע את אחד משודי הקריפטו הגדולים בכל הזמנים
זה שוב קורה: האקר הצליח לשדוד עשרות מיליוני דולרים במטבעות קריפטו על ידי שימוש בפריצה שידועה לעוסקים בתחום כבר חודשים רבים.
אתמול (שבת) הודיעו Rari ו-Fei, שני ארגוני בנקאות מבוזרים (DeFi) שהתמזגו בדצמבר באחד המהלכים הגדולים בתולדות התחום לאחר שהמשתמשים הצביעו בעד המיזוג, כי האקר הצליח לחדור למקורות המימון שלהם ולגנוב מהם כסף רב.
לפי חברת אבטחת הקריפטו BlockSec, התוקף חדר לכמה אוצרות (במובן של מאגרי כסף, כמו במשמעות שמו של משרד האוצר) על ידי פרצה שמוכרת בשם "באג הכניסה החוזרת" של שני הארגונים המאוחדים, וגנב סכום אדיר של יותר מ-80 מיליון דולר. לפי רשימת המעקב של אתר Rekt, המדרגת את שודי הקריפטו הגדולים בכל הזמנים, השוד הזה ידורג ככל הנראה במקום העשירי.
"באג הכניסה המחודשת" הוא באג מוכר, שבמקרה הזה נמצא בפרוטוקול ההלוואות Fuse שבו משתמשים שני הארגונים. הוא מאפשר לתוקף לקחת הלוואות גדולות תמורת "ערבון" שאותו הוא מצליח להעלים בלי להחזיר, ואז חזרה על ההליך מול המוני "מלווים" ברשת כדי "ללוות" מכל אחד מהם את אותו סכום שוב ושוב בלי לשלם את הערבון. בחודשים האחרונים כבר בוצעו כמה וכמה שודים על בסיס הבאג הזה, ולפי ניתוחים ברשת שני הארגונים המדוברים ניסו לסגור את הפרצה, אך שכחו את אחת הדרכים להפעיל אותה, מה שאפשר לתוקף במקרה הזה לצאת עם אחד הסכומים הגדולים ביותר שנשדדו עד כה בדרך הזו.
שני הארגונים הודיעו כי הם מודעים לפריצה; Rari עצר את ההלוואות לחלוטין עד לתיקון הבא; ושני הארגונים פרסמו הצעת "פרס" בגובה 10 מיליון דולר להאקר אם יחזיר את הכסף שגנב.
We are aware of an exploit on various Rari Fuse pools. We have identified the root cause and paused all borrowing to mitigate further damage.
To the exploiter, please accept a $10m bounty and no questions asked if you return the remaining user funds.
עבור Rari זה השוד המשמעותי השני תוך שנה – במאי 2021 היא סבלה משוד בגובה של בין 10 מיליון ל-10.6 מיליון דולר, שמדובר כרגע באזור אמצע העשירייה החמישית (כלומר באזור מקומות 42-45) של שודי הקריפטו הגדולים אי פעם.
