По сообщениям нескольких компаний, занимающихся безопасностью блокчейна, протокол конфиденциальностиCash, основанный на Ethereumи позиционирующий себя как эволюция санкционированного миксера Tornado Cash, потерял около 2,26 миллиона долларов в токенах после того, как злоумышленник воспользовался уязвимостью в его системе криптографической проверки.
В результате атаки, затронувшейtracкак в сети Ethereum , так и в сети Base, было украдено 24 283 773 519 600 токенов FOOM, являющихся собственным активом платформы. Исследователи безопасности охарактеризовали эту атаку как подражание практическиdentуязвимости, использованной в другом протоколе всего несколькими днями ранее.
Одна транзакция в сети Base привела к убыткам в размере приблизительно 427 000 долларов, непосредственно связанным с действиями злоумышленника. Транзакции в Ethereum на общую сумму около 1,83 миллиона долларов, по всей видимости, были частью операции по спасению, проводимой «белыми хакерами».
Как произошла эта уязвимость?
GoPlus Security возглавляемая Binance , сообщила об атаке, указав на то, что некорректная конфигурация ключа проверки позволила злоумышленнику подделать доказательства zkSNARK. Это позволило ему создать криптографические учетные dent , которые протокол принимал как действительные, а затем trac большие объемы токенов из скомпрометированных trac .
Платформа безопасности блокчейна Certik написала на X : «Причиной может быть настройка delta2==gamma2 верификатора Groth16 по адресу 0xc043865fb4D542E2bc5ed5Ed9A2F0939965671A6. Это позволяет злоумышленнику вычислять 'pC', необходимый для различных 'nullifierHash', в то время как все остальные входные данные одинаковы, и многократно собирать токены ZOOM».
Короче говоря, протокол, в маркетинге которого подчеркивалась практически невозможность отмены его криптографической защиты, был уничтожен из-за неправильной конфигурации.
Phalcon от BlockSec , которая в режиме реального времени обнаруживала подозрительные транзакции в обеих сетях, заявила, что инцидент, по всей dent , представлял собой имитационную атаку. Компания отметила, что атака использовала ту же самую причину, которая была выявлена ранее dent Veil Cash , произошедшем несколькими днями ранее.
Стоит отметить, что взлом Veil Cash был более ограниченным по масштабу, потери ограничились небольшим количеством ETH, по сообщениям, 2,9 ETH.
Что такоеCash?
Foom.Cash Cash сочетающий в себе анонимность Zcash , работающего как автономная цепочка обеспечения конфиденциальности, доступность DeFi Ethereum Ethereum встроенный механизм случайного вознаграждения.
Его позиционируют как улучшенную версию Tornado Cash и альтернативу Zcash на Ethereum . Tornado Cash был под санкциями Министерства финансов США в 2022 году, но ведомство сняло санкции с платформы в марте 2025 года.
Согласно данным платформы, она обрабатывает больше ежедневных транзакций, чем Tornado Cash, располагает ликвидностью на сумму более восьми миллионов долларов и обеспечивает годовую доходность в размере от 50 до 80% для поставщиков ликвидности.
В DeFi наблюдается всплеск интереса к вопросам конфиденциальности: за последние месяцы Zcash значительно вырос в цене, аCash попытался извлечь выгоду из этой тенденции, предложив решения по обеспечению конфиденциальности, интегрированные в существующую инфраструктуру Ethereum.
Платформа использовала особый вариант, называемый zkSNARKs, который является одним из ключевых элементов, обеспечивающих гарантии конфиденциальности в таких хорошо зарекомендовавших себя протоколах, как Zcash.
Что делаетCash для возврата средств?
На данный момент единственное упоминание о возврате средств связано со второй транзакцией на сумму около 1,83 миллиона долларов, которая, по сообщениям охранных компаний, являлась частью операции по спасению, проводимой «белыми хакерами».
Однако командаCash пока не упомянула и не подтвердила факт взлома. Поэтому на момент написания статьи нет информации о масштабах последствий для протокола или о том, какие меры принимает протокол для предотвращения будущих атак.
Информация о том, что команда, возможно, работает за кулисами над возвратом средств и решением основных проблем, свидетельствует о том, что она может вести работу по их возвращению.
