PANews 2 грудня повідомляє, що, згідно з Cointelegraph, децентралізована біржа (DEX) Clipper підтвердила, що нещодавня атака зловмисників на 450 000 доларів США виникла через уразливість функції зняття коштів, а не через витік приватних ключів, як раніше припускали зовнішні спостерігачі.
Згідно з заявою Clipper 1 грудня на платформі X, зловмисники скористалися уразливістю в двох ліквідних пулах, що становить близько 6% від загальної заблокованої вартості (TVL). Наразі ця уразливість була виправлена, інші ліквідні пули не постраждали. Clipper повідомляє, що ця атака стосувалася "функції зняття коштів однією монетою" (упаковані угоди на обмін і зняття), яка наразі була вимкнена. Команда Clipper проводить повне розслідування та призупинила функції обміну та депозитів протоколу, проте функція зняття коштів залишається доступною, якщо вона виконується у формі комбінації всіх активів у пулі.
Згідно з аналізом співзасновника компанії безпеки Fuzzland Чаофана Шоу, атака могла бути пов'язана з уразливістю API, що дозволяє зловмиснику підписувати підроблені запити на зняття коштів, тим самим крадучи гроші. Clipper категорично заперечує будь-який зв'язок з витоком приватних ключів і стверджує, що це припущення не відповідає їхній архітектурі безпеки.
На даний момент Clipper почала відстежувати вкрадені кошти та надіслала запит на зв'язок до зловмисників, щоб спробувати повернути активи.