Około 2 dni temu wiadomość, że ekosystem #Kyber Network padł ofiarą cyberataku, rozeszła się po całym ekosystemie kryptowalut. Firma #KyberNetwork opublikowała oświadczenie w tej sprawie na swoim oficjalnym koncie X (dawniej Twitter). Wyjaśnienie jest następujące:
1/ Od początku naszej działalności w 2017 roku pokonaliśmy wiele wyzwań, ale zdecydowanie te ostatnie 2 dni były najtrudniejsze. U podstaw naszej misji leży zaangażowanie w bezpieczeństwo, co sprawia, że to niedawne wydarzenie jest dużym ciężarem dla naszych serc. Chcielibyśmy zachować przejrzystość w kwestii tego, co się wydarzyło.
2/ 22 listopada o godzinie 22:54 czasu UTC osoby atakujące wykorzystały inteligentne kontrakty KyberSwap Elastic, wykonując szereg złożonych działań w celu przeprowadzenia wymiany typu exploit, umożliwiając wycofanie środków użytkowników do portfeli atakujących. Hakerzy wykorzystali środki użytkowników o wartości około 54,7 mln dolarów.
3/ W odpowiedzi wstrzymaliśmy depozyty, wszczęliśmy dochodzenie, skontaktowaliśmy się z odpowiednimi stronami i rozpoczęliśmy negocjacje z atakującymi, starając się pomóc użytkownikom odzyskać jak najwięcej, w tym oferując 10% nagrody jako zachętę za zwrot wykorzystanych środków użytkowników .
4/ Nasz zespół traktuje ten incydent i jego wpływ na użytkowników z najwyższą powagą, dokładając wszelkich starań, aby pomóc użytkownikom zoptymalizować prawdopodobieństwo osiągnięcia najkorzystniejszego wyniku — odzyskania środków użytkowników od atakujących.
5/ Jak zauważył 0xdoug (konto na Twitterze), ten hack wyróżnia się jako jeden z najbardziej wyrafinowanych w historii DeFi, gdzie osoba atakująca musi wykonać precyzyjną sekwencję działań w łańcuchu, aby wykorzystać lukę.
6/ Dbamy o bezpieczeństwo i wcześniej wdrożyliśmy wiele środków bezpieczeństwa po odkryciu luki w zabezpieczeniach Whitehat przez @1_00_proof w kwietniu, aby ponownie wdrożyć KyberSwap Elastic w maju.
7/ Podjęte przez nas środki bezpieczeństwa obejmują wewnętrzne kontrole inteligentnych kontraktów i audyty przeprowadzane przez 100proof (whitehacker), ChainSecurity i programistów społecznościowych w ramach konkursu audytu Sherlocka. Zachęcamy do dalszych kontroli inteligentnych kontraktów w ramach naszego programu nagród za błędy z firmą Immunefi.
8/ Pomimo tego niepowodzenia nasz interfejs API agregatora działa normalnie i wydajnie, umożliwiając partnerom dostęp do zoptymalizowanych stawek wymiany. Oprócz pul i farm płynności KyberSwap Elastic, http://kyberswap.com działa również normalnie w zakresie działań handlowych i spostrzeżeń.
9/ Jesteśmy wdzięczni za ogromne wsparcie ze strony osób, które zaoferowały pomoc w dochodzeniu. Serdecznie dziękujemy naszym użytkownikom i partnerom, którzy wierzą w nasz produkt i misję. Aktualizacje będą podawane w miarę rozwoju sytuacji.