Foom.Cash, un protocollo di privacy basato su Ethereumche si è posizionato come un'evoluzione del mixer autorizzato Tornado Cash, avrebbe perso circa 2,26 milioni di dollari in token dopo che un aggressore ha sfruttato una falla nel suo sistema di verifica crittografica, secondo gli avvisi emessi da diverse aziende di sicurezza blockchain.
L'attacco, che ha colpitotracsia sulla rete Ethereum che su quella Base, ha prosciugato 24.283.773.519.600 token FOOM, la risorsa nativa della piattaforma, in quello che i ricercatori di sicurezza hanno descritto come un exploit imitatore che replica una vulnerabilità quasidentpresa di mira in un protocollo separato solo pochi giorni prima.
Una singola transazione sulla rete Base ha causato perdite per circa 427.000 dollari, attribuibili direttamente al malintenzionato. Le transazioni su Ethereum , per un totale di circa 1,83 milioni di dollari, sembrano essere state parte di un'operazione di salvataggio white-hat.
Come è avvenuto l'attacco?
GoPlus Security Binance Labs , ha segnalato l'attacco, segnalando che una configurazione errata della chiave di verifica ha permesso all'aggressore di falsificare le prove zkSNARK. Ciò ha consentito loro di fabbricare credenziali crittografiche dent il protocollo ha accettato come valide e quindi estrarre trac volumi di token dai contratti trac .
La piattaforma di sicurezza blockchain Certik ha scritto su X : "La causa principale potrebbe essere l'impostazione delta2==gamma2 del verificatore Groth16 in 0xc043865fb4D542E2bc5ed5Ed9A2F0939965671A6. Questo consente all'aggressore di calcolare il 'pC' necessario per diversi 'nullifierHash' mentre tutti gli altri input sono gli stessi, e di raccogliere ripetutamente token ZOOM".
In breve, un protocollo il cui marketing sottolineava la quasi impossibilità di invertire le sue protezioni crittografiche è stato vanificato da una configurazione errata.
Phalcon di BlockSec , che ha rilevato transazioni sospette su entrambe le reti in tempo reale, ha dichiarato che l'incidente dent essere un attacco simulato. L'azienda ha osservato che l'attacco ha sfruttato la stessa causa principale precedentemente identificata dent violazione di Veil Cash , avvenuta pochi giorni prima.
Vale la pena sottolineare che la violazione di Veil Cash è stata di portata più limitata, con perdite contenute in un numero limitato di ETH, a quanto pare 2,9 ETH.
Che cosa è Foom.Cash?
Foom. Cash si posiziona come un "protocollo di lotteria privata basato su ZKProof" che combina l'anonimato di Zcash , che opera come una catena di privacy autonoma, l'accessibilità DeFi di Ethereum e un meccanismo di ricompensa randomizzato integrato.
È pubblicizzato come un upgrade di Tornado Cash e un'alternativa a Zcash su Ethereum . Tornado Cash è stato sanzionato dal Dipartimento del Tesoro degli Stati Uniti nel 2022, ma il dipartimento ha revocato le sanzioni sulla piattaforma nel marzo 2025.
Secondo la piattaforma, elabora più transazioni giornaliere di Tornado Cash, vanta oltre otto milioni di dollari di liquidità e genera rendimenti annuali dal 50 all'80% per i fornitori di liquidità.
La privacy nella DeFi sta riscuotendo un rinnovato interesse, con Zcash che ha registrato un significativo aumento di prezzo negli ultimi mesi e Foom.Cash ha cercato di capitalizzare su questa tendenza offrendo la privacy in modo nativo all'interno dell'infrastruttura esistente di Ethereum.
La piattaforma utilizzava una variante specifica chiamata zkSNARKs, che è uno degli ingredienti chiave alla base delle garanzie di privacy in protocolli consolidati come Zcash.
Cosa sta facendo Foom.Cash per recuperare i fondi e risolvere l'attacco?
Finora, l'unica menzione di un recupero è legata alla seconda transazione da circa 1,83 milioni di dollari, che le società di sicurezza segnalano come parte di un'operazione di salvataggio white-hat.
Tuttavia, il teamCash non ha ancora menzionato o riconosciuto l'attacco hacker. Pertanto, al momento in cui scriviamo, non ci sono informazioni sull'entità dell'impatto del protocollo o su cosa il protocollo stia facendo per mitigare futuri attacchi.
Il recupero whitehat suggerisce che il team potrebbe lavorare dietro le quinte per recuperare i fondi e risolvere i problemi di fondo.
