Взлом хранилища ликвидности Clober принес 133 ETH, команда предлагает вознаграждение за взлом (так называемое «белое хакерское» решение)

В результате взлома децентрализованной торговой площадки Clober на платформе Base было украдено 133 ETH. Команда разработчиков предложила «белому хакеру» комиссию в размере 20% за восстановление доступа к средствам. 

Одно из хранилищ ликвидности Clober, децентрализованной биржи (DEX) в сети Base, недавно подверглось взлому. Хакеру удалось вывести 133 обернутых ETH за одну транзакцию. 

🚨 СРОЧНО: Предупреждение о нарушении безопасности 🚨

С сожалением сообщаем нашему сообществу, что хранилище ликвидности Clober было взломано в результате нарушения безопасности.

Мы хотим заверить наших пользователей, что сам протокол Clober остается неизменным, и все основные функции продолжают работать…

— Clober | Полностью ончейн-децентрализованная CLOB DEX (@CloberDEX) 10 декабря 2024 г.

После взлома средства были возвращены в основную цепочку Ethereum , которая предоставляет множество возможностей для смешивания или торговли.

В протоколе утверждалось, что все остальные его функции остались неизменными, и не содержалось никаких призывов к пользователям предпринимать какие-либо дополнительные действия.  

Base — одна из относительно безопасных блокчейн-сетей, где зафиксировано немного случаев взлома. Однако рост её сектора DeFi привёл к увеличению частоты попыток кражи ценных средств. Как и в случае с другими уязвимостями, мошенники могут пытаться размещать фишинговые ссылки, чтобы опустошить кошельки.

Помимо Base, Clober разработал версию Arbitrum, которая не пострадала от взлома. Clober Core и тестовая сеть Mitosis также находятся в безопасности и не будут заморожены или остановлены. 

Указанное хранилище опустошено, и никакие другие средства не находятся под угрозой. Хранилище Clober V2 по-прежнему функционирует и, согласно данным Messari, в настоящее время накапливает заблокированные средства. В этом хранилище находится чуть более 17 000 долларов. 

Несмотря на требование о выплате «белой» комиссии, хакер присвоил средства. Команда связалась с хакером напрямую через блокчейн Ethereum с предложением решить проблему. 

В рамках проекта ведется работа с компанией Match Systems над потенциальным решением в области «белой» хакерской деятельности, при котором хакер получает комиссию, но возвращает большую часть ликвидности.

Хакер использовал уязвимость в функции burn для кражи средств

Для завершения атаки хакер Clober внес всего 2,87 ETH с Binance. После вывода средств он использовал мост протокола Across, оказавшись на двух Ethereum адресах. 

Два адреса (1 и 2) были созданы специально для транзакции моста, чтобы вывести средства из Base в Ethereum . 

По данным PeckShield, взлом стал возможен из-за проблем с функцией сжигания, что позволило осуществить вывод средств. 

Компания Clober предлагала полностью внутрисетевые книги ордеров

Clober — это протокол на ранней стадии развития с относительно низкой ликвидностью. Его хранилище ликвидности сейчас практически пусто.  Согласно данным лишь 9 декабря DeFi . Взлом произошёл днём позже, что позволяет предположить, что хакер, возможно, внимательно следил за протоколом.  Llama, протокол добавил ликвидность

В последние несколько дней наблюдались аналогичные случаи хищения относительно небольших сумм. В ходе последних событий были использованы логические ошибки в смарт-trac, что позволило относительно легко вывести средства. 

Недавняя уязвимость произошла всего через несколько дней после того, как компания Clober завершила аудит своих смарт-trac. Для проведения аудита она наняла компанию Kupia Security, известную многочисленными программами вознаграждения за обнаружение уязвимостей в высокопрофильных проектах. 

Всего за несколько дней до этого Clober также рекламировал свой подход к созданию хранилища ликвидности, который был направлен на сглаживание активности на DEX и обменов. В то время компания хвасталась тем, что ее ликвидность в размере 500 000 долларов может генерировать объемы в 1,2 миллиона долларов за 24 часа, что позволяет более эффективно совершать сделки. Именно эту доступную ликвидность и похитил мошенник. 

Хранилище ликвидности Clober было впервые запущено на платформе Base чуть более недели назад с целью замены обычных автоматизированных маркет-мейкеров (AMM) для торговли на децентрализованных биржах (DEX). Clober также активно занимался его продвижением, особенно привлекая внимание к своему целевому подходу к ликвидности и потенциалу больших объемов. 

Clober был запущен вскоре после того, как Base достиг нового рекорда по объему заблокированной стоимости, и DeFi теперь его сектор 3,86 млрд долларов . Clober стремится предложить модель, аналогичную Aerodrome, где целевая ликвидность обеспечивает гораздо большие объемы, ориентируясь на наиболее распространенный ценовой диапазон для трейдеров.