Хакер, причастный к взлому Voltage Finance, децентрализованного протокола кредитования, построенного на сети Fuse, в 2022 году, перевел значительную часть украденных средств после нескольких месяцев бездействия. Компания CertiK, специализирующаяся на безопасности блокчейна, 6 мая сообщила, что хакер перевел 100 Ether, стоимость которых составляет приблизительно 182 783 доллара, через сервис смешивания криптовалют Tornado Cash.
Согласно расследованию CertiK, адрес кошелька, использованный в транзакции, был неактивен в течение 166 дней, без каких-либо движений с ноября. Этот адрес связан с первоначальной атакой и может быть tracдо более ранней активности хакера.
Наша система оповещений обнаружила @Tornado Cash
в размере 100 ETH по адресу 0xCF4823dA7271fdedBe103500d8E197Bdca224B6d.trac об этих средствах связана с инвестициями Voltage Finance в размере около 4 миллионов долларов,
осуществленными на платформе Fuse в марте 2022 года.Будьте бдительны! pic.twitter.com/eyqH1HbN3F
— CertiK Alert (@CertiKAlert) 6 мая 2025 г.
Компания, занимающаяся обеспечением безопасности блокчейна, также пояснила, что хакер использовал Tornado Cash, санкционированный Министерством финансов США в 2022 году за содействие отмыванию денег, чтобы скрыть транзакции в блокчейне и помешать следователям tracдвижение средств.
Оригинальная эксплойт-модель Voltage Finance 2022 года
Компания Voltage подверглась хакерской атаке 31 марта 2022 года, в результате которой хакеры похитили цифровые токены на сумму около 4,67 миллиона долларов. Сообщается, что они воспользовались уязвимостью в стандарте токенов ERC677 через встроенную функцию обратного вызова. Эта функция позволила им осуществить атаку с повторным входом и успешно вывести средства из пула кредитования платформы.
На начальном этапе атаки злоумышленник использовал мгновенный заем в размере 515 Wrapped Ether (WETH) из пары WETH-WBTC на платформе Voltage Finance для запуска эксплойта .
Voltage Finance работает как децентрализованный протокол, обеспечивающий автоматизированную торговлю токенами в сети Fuse. Злоумышленник воспользовался этой инфраструктурой, манипулируя смарт-tracплатформы с помощью обернутых токенов и мгновенных займов.
Ola Finance, многопротокольная сеть, поддерживающая Voltage, через два дня после инцидента dent анализ причин произошедшего, показав, что уязвимость была характерна именно для ее развертывания Fuse. Разработчики заявили, что подобные атаки не затронут другие кредитные сети в экосистеме Ola.
В общей сложности злоумышленник похитил 216 964,18 USDC, 507 216,68 BUSD, 200 000 fUSD, 550,45 Wrapped Ether (wETH), 26,25 Wrapped Bitcoin (wBTC) и 1 240 000 токенов FUSE.
« В последующих транзакциях злоумышленник избежал получения мгновенного кредита, используя уже украденные средства », — говорится в отчете компании Ola.
Ещё одна уязвимость произойдёт в марте 2025 года
18 марта этого года Voltage Finance снова подверглась атаке в результате отдельной уязвимости, затронувшей пулы Simple Staking. На этот раз несанкционированный вывод средств привел к краже 171 027,20 долларов США в USDCE и 151 085,87 долларов США в wETH. Платформа приостановила операции в пуле, чтобы остановить отток средств, и заявила, что «срочно работает надdentхакера»
Согласно сообщению Voltage Finance от 20 марта на Medium, атака началась, когда вторая неизвестная сторона, обозначенная как Злоумышленник 2, вывела ETH с криптовалютной биржи HTX. Злоумышленник 2 перевела украденные активы Злоумышленнику 1, который использовал эти деньги для покупки токенов FUSE через ChangeNow, подключенных к сети через LayerZero.
Затем украденные активы были переведены обратно в Ethereum и перемещены через несколько кошельков и транзакций. После этого средства были переданы от Злоумышленника 1 к Злоумышленнику 3, который получил дополнительные средства через SimpleSwap.
Злоумышленник №3 внес часть токенов на биржу KuCoin, а другую часть обменял и вывел обратно первому хакеру, завершив таким образом цикл отмывания денег.
« Поскольку ваши транзакции проходили через KuCoin, мы начали сотрудничество, чтобы идентифицировать dent . Мы предпочитаем разрешить эту ситуацию мирным путем. Мы предлагаем вознаграждение в размере 50 000 долларов США за возврат всех средств », — сообщила Voltage Finance хакеру в своем сообщении на X- сервере.
Согласно недавнему отчету компании Immunefi, занимающейся вопросами безопасности блокчейна, потери от взломов и эксплойтов, связанных с криптовалютами, достигли 1,74 миллиарда долларов с начала года, уже превысив общую сумму в 1,49 миллиарда долларов, зафиксированную за весь 2024 год. Общая сумма потерь за 2025 год почти в четыре раза превышает 420 миллионов долларов, зафиксированных за тот же период 2024 года.
