Clipper, децентралізована біржа (DEX), розкрила, що вразливість у функції виведення призвела до недавнього злому на суму $450,000.

Протокол уточнив у заяві 1 грудня на X, що, на відміну від попередніх заяв третіх осіб, експлуатація не була результатом витоку приватного ключа, а скоріше недоліком у процесі виведення.

Злом націлений на два пулу ліквідності.

Злом, який стався 1 грудня, вплинув на два з пулів ліквідності Clipper, що становить 6% від загальної заблокованої вартості (TVL) біржі. Clipper запевнив користувачів, що інші пули не постраждали і що експлуатація була вирішена.

«Існували заяви третіх осіб, які припускали витік приватного ключа», - заявив Clipper. «Ми можемо підтвердити, що це не так і не відповідає дизайну та архітектурі безпеки Clipper.»

Вразливість була пов'язана з можливістю виведення коштів у вигляді одного токена, описаного як «упакована своп + транзакція внесення/виведення». Ця функція з тих пір була відключена як запобіжний захід.

Інцидент став відомим після того, як Чаофан Шоу, співзасновник безпекової фірми Fuzzland, запропонував на X, що злом міг бути викликаний вразливістю API, що дозволяло зловмисникам підробляти запити на внесення та виведення коштів. Clipper відхилив ці твердження, але визнав необхідність детального розслідування.

Протокол вживає заходів на фоні зростання крадіжок криптовалют.

На тлі злому Clipper призупинив свопи та внесення, залишивши виведення відкритим, хоча з більш суворими умовами. Користувачі можуть виводити кошти тільки в міксі активів з постраждалих пулів. Протокол активно відстежує викрадені кошти та простягає олійну гілку зловмиснику, запрошуючи його розпочати спілкування для можливих переговорів.

Цей злом додає до тривожного підрахунку понад $1.48 мільярда криптовалют, вкрадених у всьому світі у 2024 році, згідно з останнім звітом Immunefi. Хоча ця цифра відзначає зниження на 15% у порівнянні з тим же періодом минулого року, вона підкреслює постійні вразливості, які турбують сектор DeFi.

Shipyard Software Inc., творець Clipper, поки що не видав додаткових заяв щодо інциденту. Для Clipper та його користувачів, злом служить яскравим нагадуванням про важливість надійних протоколів безпеки для захисту децентралізованих платформ.

Злом Clipper DEX виявив вразливість на суму $450,000, команда виключає витік приватного ключа.