Гаманці DeltaPrime були скомпрометовані, що призвело до збитків понад 5,9 мільйона доларів. Хакер використав частину протоколу Arbitrum, захопивши проксі-сервер адміністратора та перенаправивши його на зловмисний контракт.

Хакер захоплює контроль над гаманцями DeltaPrime

Вранці в Європі Cyvers Alerts, платформа безпеки блокчейнів, першою повідомила про атаку на DeltaPrime. Платформа повідомила, що хакер заволодів гаманцем адміністратора та все ще виснажував численні кошти. На той момент близько 4,5 мільйонів доларів вже було втрачено та обміняно на $ETH.

🚨ALERT🚨@DeltaPrimeDefi зіткнувся з інцидентом безпеки на своїх ключах адміністратора. Зловмисник керував закритим ключем 0x40e4ff9e018462ce71fa34abdfa27b8c5e2b1afb, а потім оновив проксі! Наразі витрачено 5,93 мільйона доларів США! Хочете, щоб ваша компанія не потрапляла на радари сповіщень? Дізнайтеся… https://t.co/yOmNZJyp5l pic.twitter.com/lztFvXVmfI

— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) 16 вересня 2024 р.

В іншій публікації Cyvers Alerts підтвердив, що понад 5,93 мільйона доларів було вкрадено, стверджуючи, що хакер захопив контроль над приватним ключем 0x40e4ff9e018462ce71fa34abdfa27b8c5e2b1afb, перш ніж оновити проксі.

За словами Чаофана Шана, засновника Fuzzland, хакер перенаправив кошти з проксі-сервера адміністратора на шкідливий контракт, ідентифікований як 0xD4CA224a176A59ed1a346FA86C3e921e01659E73. 

Шан заявив, що зловмисний контракт може «роздути» суми, депоновані хакером у всіх пулах, оцінивши збитки для DeltaPrime у 6 мільйонів доларів.

Ця остання атака сталася після липневого злому, який призвів до втрати 1 мільйона доларів США, вплинувши на 13 різних облікових записів. Однак DeltaPrime змогла відшкодувати приблизно 900 000 доларів США від цього інциденту та використала 100 000 доларів США зі свого пулу стабільності для компенсації постраждалим користувачам.

ZachXBT пов’язує атаку з північнокорейською групою Lazarus

ZachXBT, крипторозслідувач, прокоментував останню атаку DeltaPrime, посилаючись на подібність методів, що використовуються хакерами Lazarus з Північної Кореї, які активно атакували протоколи DeFi.

ZachXBT виявив, що стратегія зловмисника передбачала передачу вкрадених активів між мережами та спрямування великих сум у служби конфіденційності, такі як Tornado Cash, фактично приховуючи походження коштів.

У серпні 2024 року він висловив занепокоєння з приводу членів групи Lazarus, які, як він пінгував, сфабрикували підроблені особи та отримали роботу ІТ-працівників і розробників, перш ніж саботувати та викрадати конфіденційні дані.