Хакер на нашумял блокчейн проект иска пълен контрол над мрежата

KyberSwap, агрегатор на децентрализирана борса (DEX) и протокол за ликвидност, който е в основата на ликвидния хъб на мрежата Kyber, стана жертва на целенасочен експлойт. 

Този пробив в сигурността, настъпил на 23 ноември 2023 г., е довел до кражба на около $54.7 милиона, според екипа по сигурността SlowMist. Повече от седмица след първоначалната атака хакерът е отправил смели искания.

Атаката се е развивала систематично. Извършителят е инициирал експлойта, като е взел назаем 2,000 обвити Етериум токена (WETH) чрез флаш заем от протокола AAVE. Използвайки 6.8496 WETH, атакуващият е манипулирал пула на KyberSwap, разменяйки за frax Ether (frxETH), умишлено изкривявайки цената на frxETH извън обхвата на позициите на доставчиците на ликвидност.

След това атакуващият е добавил ликвидност от 0.006948 frxETH и 0.1078 WETH в рамките на определен ценови диапазон. Като контролира педантично количеството ликвидност на 74692747583654757908, нападателят се е подготвил стратегически за следващите етапи на атаката. Впоследствие атакуващият използвал 387.17 WETH, за да ги размени за 0.005789 frxETH, което значително завишило текущата цена. Накрая атакуващият е извършил обратен суап, разменяйки 0.005868 frxETH за 396.2 WETH на цена малко над квадратния корен на цената (sqrtP) на тик 111310.

Възползвайки се от тази манипулация, атакуващият е придобил приблизително 9 WETH повече от първоначално разменените в директната размяна. 

Екипът на SlowMist идентифицира основната причина като неправилно изчисление на необходимите количества токени за размяна въз основа на текущите и граничните цени на тиковете. 

В изненадващ обрат хакерът изпрати съобщение по веригата на 30 ноември, в което изложи исканията си. Те включват поемане на пълен изпълнителен контрол върху KyberSwap, временна собственост върху механизма за управление (KyberDAO) за въвеждане на промени и отказ от всички активи, включително акции, дялове и токени.

Хакерът също така обеща справедливи откупки за изпълнителните директори, увеличаване на заплатите на служителите и 12-месечно обезщетение за напускащите.

Освен това хакерът увери притежателите на токени и инвеститорите във възстановяването на стойността на токените в рамките на предложения план, като обещава да превърне Kyber в нов крипто проект, надминаващ сегашния му рейтинг. На участниците в ликвидния пул се обещава 50% отстъпка за скорошните загуби от пазарни операции. Хакерът определи като краен срок до 10 декември, предлагайки контакт чрез Telegram на адрес “@Kyber_Director“.