От обновления до ограбления: хакеры увели $8,4 млн из протокола Zoth

Протокол рестейкинга реальных активов (RWA) Zoth подвергся атаке хакеров, в результате которой было похищено более $8,4 млн. Инцидент вынудил команду проекта перевести сайт платформы в режим технического обслуживания.

21 марта компания Cyvers, специализирующаяся на блокчейн-безопасности, обнаружила подозрительную транзакцию в сети Zoth. По данным специалистов, был скомпрометирован кошелек-деплойер (deployer wallet) — криптовалютный кошелек или адрес, используемый для развертывания (deployment) смарт-контрактов в блокчейн-сети, он обычно содержит ключи, необходимые для управления смарт-контрактами после их размещения в сети) протокола, что позволило злоумышленнику вывести криптоактивы на сумму более $8,4 млн.

Эксперты отметили, что буквально за несколько минут похищенные средства были конвертированы в стейблкоин DAI и переведены на другой адрес. После обнаружения взлома, хакеры переместили украденные активы и обменяли их на Ethereum, стоимость которого на момент инцидента составляла около $1 968.

Причина взлома — компрометация админ-прав

В своем заявлении команда Cyvers подчеркнула, что этот инцидент высветил уязвимости в протоколах смарт-контрактов и необходимость усиления мер безопасности в этой области.

Хакан Унал (Hakan Unal), старший руководитель SOC в Cyvers Alerts, сообщил, что взлом, скорее всего, произошел из-за утечки административных прав доступа. По его словам, примерно за 30 минут до обнаружения взлома контракт Zoth был обновлен до вредоносной версии, развернутой с подозрительного адреса.

«В отличие от типичных эксплойтов, этот метод обошел механизмы безопасности и мгновенно предоставил полный контроль над средствами пользователей», — пояснил специалист по безопасности.

Унал отметил, что подобных атак можно избежать, внедрив несколько ключевых мер:

• Использование мультисиг-обновлений контрактов для предотвращения отказов из-за единой точки доступа
• Добавление временных блокировок на обновления для обеспечения мониторинга
• Настройка оповещений в реальном времени об изменениях в административных ролях
• Улучшение управления ключами для предотвращения несанкционированного доступа

Несмотря на возможность предотвращения таких атак, эксперт считает, что этот тип взломов продолжит оставаться проблемой в децентрализованных финансах (DeFi). По его мнению, компрометация административных ключей остается «основным риском» в экосистеме DeFi.

«Без децентрализованных механизмов обновления злоумышленники продолжат нацеливаться на привилегированные роли для захвата протоколов», — добавил Унал.

Команда Zoth сообщила, что работает со своими партнерами, чтобы «смягчить последствия» и полностью разрешить ситуацию. Платформа обещала опубликовать подробный отчет после завершения расследования инцидента.

Источник