«Улучшенная версия Tornado Cash» от Foom.Cash понесла убытки в размере почти 2,3 млн долларов из-за эксплойтов

По сообщениям нескольких компаний, занимающихся безопасностью блокчейна, протокол конфиденциальностиCash, основанный на Ethereumи позиционирующий себя как эволюция санкционированного миксера Tornado Cash, потерял около 2,26 миллиона долларов в токенах после того, как злоумышленник воспользовался уязвимостью в его системе криптографической проверки.

В результате атаки, затронувшейtracкак в сети Ethereum , так и в сети Base, было украдено 24 283 773 519 600 токенов FOOM, являющихся собственным активом платформы. Исследователи безопасности охарактеризовали эту атаку как подражание практическиdentуязвимости, использованной в другом протоколе всего несколькими днями ранее.

Одна транзакция в сети Base привела к убыткам в размере приблизительно 427 000 долларов, непосредственно связанным с действиями злоумышленника. Транзакции в Ethereum на общую сумму около 1,83 миллиона долларов, по всей видимости, были частью операции по спасению, проводимой «белыми хакерами». 

Как произошла эта уязвимость?

Сеть безопасности Web3 GoPlus Security , Binanceвозглавляемая Labs , сообщила об атаке, указав на то, что некорректная конфигурация ключа проверки позволила злоумышленнику подделать доказательства zkSNARK. Это позволило ему создать криптографические учетныеdent, которые протокол принимал как действительные, а затемtracбольшие объемы токенов из скомпрометированныхtrac.

Платформа безопасности блокчейна Certik написала на X: «Причиной может быть настройка delta2==gamma2 верификатора Groth16 по адресу 0xc043865fb4D542E2bc5ed5Ed9A2F0939965671A6. Это позволяет злоумышленнику вычислять 'pC', необходимый для различных 'nullifierHash', в то время как все остальные входные данные одинаковы, и многократно собирать токены ZOOM».

Короче говоря, протокол, в маркетинге которого подчеркивалась практически невозможность отмены его криптографической защиты, был уничтожен из-за неправильной конфигурации.

Phalcon от BlockSec , которая в режиме реального времени обнаруживала подозрительные транзакции в обеих сетях, заявила, что инцидент, по всейdent , представлял собой имитационную атаку. Компания отметила, что атака использовала ту же самую причину, которая была выявлена ​​ранееdentVeil Cash , произошедшем несколькими днями ранее.

Стоит отметить, что взлом Veil Cash был более ограниченным по масштабу, потери ограничились небольшим количеством ETH, по сообщениям, 2,9 ETH.

Что такоеCash?

Foom.CashCash сочетающий в себе анонимность Zcash, работающего как автономная цепочка обеспечения конфиденциальности, доступность EthereumEthereum DeFi встроенный механизм случайного вознаграждения. 

Его позиционируют как улучшенную версию Tornado Cash и альтернативу Zcash на Ethereum. Tornado Cash был под санкциями Министерства финансов США в 2022 году, но ведомство сняло санкции с платформы в марте 2025 года. 

Согласно данным платформы, она обрабатывает больше ежедневных транзакций, чем Tornado Cash, располагает ликвидностью на сумму более восьми миллионов долларов и обеспечивает годовую доходность в размере от 50 до 80% для поставщиков ликвидности.

В DeFi наблюдается всплеск интереса к вопросам конфиденциальности: за последние месяцы Zcash значительно вырос в цене, аCash попытался извлечь выгоду из этой тенденции, предложив решения по обеспечению конфиденциальности, интегрированные в существующую инфраструктуру Ethereum.

Платформа использовала особый вариант, называемый zkSNARKs, который является одним из ключевых элементов, обеспечивающих гарантии конфиденциальности в таких хорошо зарекомендовавших себя протоколах, как Zcash.

Что делаетCash для возврата средств?

На данный момент единственное упоминание о возврате средств связано со второй транзакцией на сумму около 1,83 миллиона долларов, которая, по сообщениям охранных компаний, являлась частью операции по спасению, проводимой «белыми хакерами».

Однако командаCash пока не упомянула и не подтвердила факт взлома. Поэтому на момент написания статьи нет информации о масштабах последствий для протокола или о том, какие меры принимает протокол для предотвращения будущих атак. 

Информация о том, что команда, возможно, работает за кулисами над возвратом средств и решением основных проблем, свидетельствует о том, что она может вести работу по их возвращению.