Een paar dagen geleden kreeg de gedecentraliseerde niet-KYC-applicatie FixedFloat een hackaanval op zijn infrastructuur, met een verlies van 26 miljoen dollar tot gevolg.
Volgens het audit- en blockchain-analysebedrijf PeckShield werden in totaal 1728 ETH en 409 BTC gestolen: een deel van het geld werd vervolgens witgewassen door middel van gedecentraliseerde mixers en coinjoin-transacties.
FixedFloat heeft verklaard dat gebruikersgelden veilig zijn en dat de hack de financiële stabiliteit van de crypto-uitwisselingstoepassing niet in gevaar heeft gebracht.
Alle details hieronder.
Kwetsbaarheid in de structuur van FixedFloat: de gedecentraliseerde applicatie lijdt aan een hack van $ 26 miljoen in BTC en ETH
Op zaterdag 17 februari werd de gedecentraliseerde cryptocurrency-uitwisselingsapplicatie FixedFloat het slachtoffer van een hack die ervoor zorgde verliezen van 26 miljoen dollar in BTC en ETH.
Het begon allemaal toen verschillende gebruikers meldden dat ze bevroren transacties hadden ervaren en dat er geld op hun rekeningen ontbrak; Kort daarna werd via on-chain analyse ontdekt dat enkele miljoenen dollars waren naar verschillende niet-herkende externe portemonnees gesluisd.
Hoewel het nog niet duidelijk is hoe de aanval plaatsvond, legde het FixedFloat-team prompt uit dat het een “klein technisch probleem” op het moment van het incident.
Hetzelfde heeft aangekondigd dat het geld zal worden terugbetaald aan de platformgebruikers en dat de hack de financiële stabiliteit van het bedrijf niet in gevaar heeft gebracht.
Hoe dan ook, op het moment dat het artikel werd geschreven de decentrale applicatie blijft inactief en in onderhoudsmodus, maar het zal in een onbepaalde toekomst heropend worden, zodra het zeker is dat het veilig is om te gebruiken.
Dit is wat er na de hack op X werd gerapporteerd door Fixed FixedFloat:
De gedecentraliseerde beurs staat bekend om zijn niet-KYC-diensten, waarvoor geen registratie volgens de klassieke ‘Know Your Customer’-procedure vereist is, wat een concurrentievoordeel op het gebied van privacy mogelijk maakt.
Door de mogelijkheid aan te bieden om anoniem te blijven en transacties in Bitcoin via Lightning Network aan zijn klanten toe te staan, heeft FixedFloat een breed scala aan gebruikers uit de Verenigde Staten aangetrokken.
Gedeeltelijk waren het kenmerk van anonimiteit en het gebrek aan interne controles in het voordeel van de aanval van kwaadwillende hackers, die hun persoonlijke gegevens niet hoefden te verstrekken om toegang te krijgen tot de applicatie.
Dat meldt het cybersecurity- en blockchain-analysebedrijf PeckShieldDe diefstal bedraagt precies 1728 ETH, ter waarde van 4.85 miljoen dollar, en 409 BTC, ter waarde van bijna 21 miljoen dollar.
Het grootste deel van de ether van de hack is al overgebracht naar een breed scala aan gedecentraliseerde uitwisselingen op de Ethereum-blockchain.
FixedFloat heeft gemeld dat ze samenwerken met wetshandhavers, forensische blockchain-bedrijven en cryptocurrency-uitwisselingen om de hackers op te sporen, die nog geen contact hebben opgenomen met de uitwisseling.
Het bedrijf heeft verklaard al zijn betalingsverplichtingen te zullen nakomen zodra deze de activiteiten hervat en er zeker van is dat de centrale weer veilig kan worden gebruikt.
Een deel van de gestolen BTC uit de hack werd gerecycled via een coinjoin-operatie
Terwijl de ETH die is gestolen uit de hack van de gedecentraliseerde applicatie FixedFloat gemakkelijk naar tientallen verschillende adressen is verplaatst en via de Ethereum-blockchain is verspreid, de BTC die deel uitmaken van dezelfde buit staan op het punt gerecycled te worden met Coinjoin-transacties.
We herinneren u eraan dat Coinjoin een soort Bitcoin-operatie is, voor het eerst getheoretiseerd door Gregory Maxwell in 2013, waarbij meerdere BTC-betalingen worden gecombineerd in één transactie, waardoor het moeilijk is om te bepalen welke adressen welk bedrag hebben uitgegeven.
Vergelijkbaar met wat er gebeurt met gedecentraliseerde mixers zoals Tornado Cash, worden Coinjoin-transacties gecombineerd om één enkele transactie in een gezamenlijke pool te vormen, waar spaarders vervolgens hun geld terug kunnen vragen. “gebundelde” en anonieme fondsen.
In ons geval maakte de hacker gebruik van een soort mixer die een methode gebruikt om de privacy te vergroten, vergelijkbaar met Coinjoin, waarbij al verschillende BTC zijn uitgewisseld.
In het bijzonder kunnen we bevestigen dat volgens wat werd uitgelegd door een onderzoeker web3 op X, een deel van het gestolen geld, om precies te zijn 2.7544 BTC, naar het adres is gestroomd.
34F2Jjmzo4N3kz3zVVBbqr3nn6NkvQvNjA, dat toebehoort aan de CEX TradeOgre.
Dit geld zou de commissie kunnen vertegenwoordigen die door de kwaadwillende actor wordt betaald om de mixer te gebruiken lijkt te koppelen aan de Whirpool-applicatie die een geavanceerd privacysysteem implementeert.
Er wordt aangenomen dat 166 van de 409 BTC die zijn gestolen uit de gedecentraliseerde applicatie FixedFloat al door de Whirpool-mixer zijn gegaan.
Dit soort incidenten zijn gebruikelijk in cryptografische omgevingen, vooral in niet-KYC-omgevingen die op een of andere manier de anonimiteit van hackers beschermen.
Volgens het on-chain forensisch onderzoeksbedrijf Chainalysis, ondanks de talrijke incidenten die in 2023 zijn geregistreerd hacks en exploits nemen af vergeleken met vorig jaar, toen het aantal diefstallen enorm toenam.
Over het geheel genomen is de waarde van gehackte fondsen met ongeveer 54.3% gedaald ten opzichte van 2022, met een totaal gestolen bedrag van ongeveer 1.7 miljard dollar, voornamelijk afkomstig van hacks van DeFi-applicaties.
Bron: https://en.cryptonomist.ch/2024/02/20/the-decentralized-application-fixedfloat-falls-victim-to-a-26-million-hack/