Zdecentralizowana giełda Clipper została wykorzystana na kwotę około 450 000 dolarów po tym, jak atakujący wykorzystał dwa z puli płynności protokołu na blockchainach Optimism i Base.

O godzinie 4:00 UTC 1 grudnia atakujący zmanipulował funkcję wypłaty Clippera, wykorzystując jego zdolność do przetwarzania połączonych transakcji swap i wypłat, napisał protokół w swoim pierwszym raporcie po incydencie.

Stracone fundusze z pul płynności na Optimism i Base stanowiły około 6% całkowitej wartości zablokowanej na platformie, co zmusiło ją do zawieszenia wymian i depozytów na wszystkich łańcuchach oraz wyłączenia możliwości wypłaty w formie tylko jednego tokena.

„Wypłaty są nadal dostępne, ponieważ Clipper jest niepowierniczy i nigdy nie może uniemożliwić Ci wypłaty. Jednak wszystkie wypłaty muszą być w mixie wszystkich aktywów w puli,” napisał Clipper Dex.

Wstępne dochodzenie przeprowadzone przez Chaofan Shou, współzałożyciela firmy zabezpieczeń Fuzzland, sugerowało, że exploit wynikał z wycieku klucza prywatnego, co umożliwiło atakującemu podpisywanie żądań depozytów i wypłat w celu wyciągnięcia funduszy. Jednak Clipper obalił te twierdzenia, podkreślając, że jego architektura zabezpieczeń jest zaprojektowana w celu zapobiegania takim lukom.

Tymczasem Clipper zapewnił swoją społeczność, że wszystkie pozostałe fundusze są bezpieczne, obiecując regularne aktualizacje, gdy kontynuuje swoje dochodzenie. Zespół aktywnie śledzi również skradzione aktywa i zaprosił atakującego do nawiązania dialogu.

Może Ci się również spodobać: Protokół Thala wznawia działania po exploicie na kwotę 25,5 mln USD

Eksploit Clippera nastąpił nieco ponad miesiąc po tym, jak oparty na LayerZero Radiant Capital stracił ponad 50 milionów dolarów 18 października. Hakerzy zdołali zainfekować systemy trzech głównych deweloperów protokołu, co pozwoliło im wykorzystać protokół pożyczkowy po uzyskaniu kontroli nad jego kluczami prywatnymi i kontraktami inteligentnymi.

Ostatnio protokół Thala stracił 25,5 miliona dolarów po tym, jak aktualizacja jego kontraktów rolniczych wprowadziła lukę.

Według firmy zajmującej się bezpieczeństwem blockchain, PeckShield, w październiku stracono około 88,4 miliona dolarów na atakach kryptograficznych, co podniosło całkowite straty w łańcuchu do 181 milionów dolarów.

Niedawny raport od Immunefi podkreślił, że ataki w listopadzie koncentrowały się bardziej na DeFi niż na platformach finansowych scentralizowanych, podczas gdy całkowite straty kryptograficzne w 2024 roku do listopada wykazały spadek o 15% w porównaniu do tego samego okresu w ubiegłym roku.

Czytaj więcej: Fundacja Tapioca oferuje 1 mln dolarów nagrody dla atakującego po exploicie na kwotę 4,7 mln dolarów