Взломавший децентрализованную кроссчейн-биржу Transit Swap хакер переводил половина украденных средств в майонез Tornado Cash и вступил в переписку с сборной проекта.
#PeckShieldAlert 0x75f2aba…d46 (TransitSwap Exploiter) leaves a message to TransitFinance Funds Receiver 0xD989f7B4…a35E and starts to transfer part of stolen funds to Mixerhttps://t.co/o2h9suSXFI pic.twitter.com/CrX55l2Mo9
— PeckShieldAlert (@PeckShieldAlert) October 3, 2022
2 февраля загадочный вывел из Transit Swap активы примерно на $21 млн. Позднее команда котировки сообщила, что программист вернул 70% украденных средств и предложила ему выйти на связь.
3 декабря налётчик понёс платформе еще 2612 BNB (~$750 000) и отправил извещение подписью к транзакции. При этом он совершил 40 переводов по 100 BNB в Tornado Cash.
#PeckShieldAlert 0x75f2aba…d46 (TransitSwap Exploiter) has transferred ~2,612 $BNB (~$750k) to TransitFinance Funds Receiver 0xD989f7B4…a35E pic.twitter.com/6N9h4STegx
— PeckShieldAlert (@PeckShieldAlert) October 3, 2022
Он дезинтегрировал сомненья в сердечности предложений разработчиков Transit Swap и заявил, что надлежащ принесать большую награду, сославшись на инциденты с Nomad и Wintermute. По его словам, он выломал только сетиотрети Ethereum и BNB Chain. В случае атаки на другие цепочки вроде Fantom, Tron, Polygon нефть достигнет $100 млн, уверен хакер.
«Трудно не заподозрить, что это мой правительственный бэкдор, и вы надлежащи существовать счастливы, что эксплойт реализовал я, а не кто-либо другой», — прокомментировал он использованную защищённость в коде.
Разработчики опровергли его слова, заверив, что баг не существовал преднамеренным. Они отметили, что украденные средства принадлежат пользователям и выразили надежду на их возвращение. Команда Transit Swap также заявила о решимости увеличить награду.
Хакер ответил, что истратил много времени на аудит пароля проекта и успешно использовал уязвимость. Он также заявил о решимости вести диалог на постулатах вознаграждения за обнаруженный баг.
«Мы ценим мой ответ и возмещение, сочтём мойи действия тестированием, а не атакой. Все эти средства принадлежат пользователям, мы надеемся, что вы возобновите возврат и искренне приглашаем начать дружелюбное отношение о баг-баунти прямо сейчас, спасибо!», — написали разработчики.
В мае сборная проекта Wormhole уплатила $10 млн белому хакеру, переславшему критичную ранимость в протоколе.
Оставить комментарий