Circa 2 giorni fa, la notizia che l'ecosistema di rete #Kyber ha subito un attacco informatico si è diffusa in tutto l'ecosistema delle criptovalute. #KyberNetwork ha pubblicato una dichiarazione riguardante questo problema sul suo account X ufficiale (ex Twitter). La spiegazione è la seguente:
1/ Abbiamo superato molte sfide sin dal nostro inizio nel 2017, ma questi ultimi due giorni sono stati di gran lunga i più difficili. Al centro della nostra missione c’è l’impegno per la sicurezza, che rende questo recente evento un pesante fardello sui nostri cuori. Vorremmo essere trasparenti su quanto accaduto.
2/ Il 22 novembre alle 22:54 UTC, gli aggressori hanno sfruttato i contratti intelligenti KyberSwap Elastic utilizzando una serie di azioni complesse per condurre scambi di sfruttamento, consentendo il ritiro dei fondi degli utenti nei portafogli degli aggressori. Gli aggressori hanno sfruttato circa 54,7 milioni di dollari dei fondi degli utenti.
3/ In risposta, abbiamo sospeso i depositi, avviato un'indagine, contattato le parti interessate e avviato trattative con gli aggressori nel tentativo di aiutare gli utenti a recuperare quanto più possibile, inclusa l'offerta di una ricompensa del 10% come incentivo per restituire i fondi sfruttati degli utenti .
4/ Il nostro team sta trattando questo incidente e il suo impatto sugli utenti con la massima serietà, dedicando sforzi incessanti per aiutare gli utenti a ottimizzare la probabilità di raggiungere il risultato più favorevole: recuperare i fondi degli utenti dagli aggressori.
5/ Come sottolineato da 0xdoug (un account Twitter), questo hack si distingue come uno dei più sofisticati nella storia della DeFi, in quanto l'aggressore deve eseguire una sequenza precisa di azioni on-chain per sfruttare la vulnerabilità.
6/ Ci impegniamo per la sicurezza e in precedenza abbiamo implementato molteplici misure di sicurezza dopo la scoperta della vulnerabilità whitehat da parte di @ 1_00_proof in aprile, al fine di ridistribuire KyberSwap Elastic a maggio.
7/ Le misure di sicurezza che abbiamo adottato includono controlli interni dei contratti intelligenti e audit da parte di 100proof (whitehacker), ChainSecurity e sviluppatori della comunità tramite il concorso di audit di Sherlock. Abbiamo incoraggiato ulteriori controlli sui contratti intelligenti attraverso il nostro programma Bug Bounty con Immunefi.
8/ Nonostante questa battuta d'arresto, la nostra API Aggregator funziona normalmente ed efficientemente per consentire ai partner di accedere a tassi di swap ottimizzati. Oltre ai pool e alle fattorie di liquidità KyberSwap Elastic, http://kyberswap.com funziona normalmente anche per attività di trading e approfondimenti.
9/ Siamo grati per l'enorme sostegno da parte di coloro che hanno offerto assistenza per aiutare nelle indagini. Il nostro più sincero apprezzamento va ai nostri utenti e partner che credono nel nostro prodotto e nella nostra missione. Verranno forniti aggiornamenti man mano che la situazione evolverà.