Den desentraliserte applikasjonen FixedFloat lider av et hack på 26 millioner dollar

For noen dager siden fikk den desentraliserte ikke-KYC-applikasjonen FixedFloat et hackangrep på infrastrukturen, noe som resulterte i tap på 26 millioner dollar.

I følge revisjons- og blokkjedeanalyseselskapet PeckShield ble totalt 1728 ETH og 409 BTC stjålet: noen av pengene ble deretter vasket ved å gå gjennom desentraliserte miksere og coinjoin-transaksjoner.

FixedFloat har uttalt at brukermidler er trygge og at hacket ikke kompromitterte den økonomiske stabiliteten til kryptoutvekslingsapplikasjonen.

Alle detaljene nedenfor.

Sårbarhet i FixedFloats struktur: den desentraliserte applikasjonen lider av et hack på 26 millioner dollar i BTC og ETH

Lørdag 17. februar ble den desentraliserte kryptovalutautvekslingsapplikasjonen FixedFloat offer for et hack som forårsaket tap på 26 millioner dollar i BTC og ETH.

Det hele startet da flere brukere rapporterte at de opplevde frosne transaksjoner og manglende midler på kontoene sine; kort tid etter ble det oppdaget gjennom on-chain analyse at flere millioner dollar hadde blitt tappet til ulike ukjente eksterne lommebøker.

Selv om det ennå ikke er klart hvordan angrepet skjedde, forklarte FixedFloat-teamet umiddelbart at det var en "lite teknisk problem" på tidspunktet for hendelsen.

Det samme har annonsert at midlene vil bli refundert til plattformbrukerne og at hacket ikke kompromitterte den økonomiske stabiliteten til selskapet.

Uansett, på tidspunktet for skriving av artikkelen den desentraliserte applikasjonen forblir inaktiv og i vedlikeholdsmodus, men det vil bli gjenåpnet i en uspesifisert fremtid, så snart det er sikkert å være trygt å bruke.

Her er det som ble rapportert på X av Fixed FixedFloat etter hacket:

Den desentraliserte børsen er kjent for sine ikke-KYC-tjenester, som ikke krever registrering under den klassiske "Know Your Customer"-prosedyren, noe som gir et konkurransefortrinn når det gjelder personvern.

Ved å tilby muligheten til å forbli anonym og tillate transaksjoner i Bitcoin gjennom Lightning Network til sine kunder, har FixedFloat tiltrukket seg et bredt spekter av brukere fra USA.

Til dels favoriserte egenskapen til anonymitet og mangelen på interne kontroller det ondsinnede hackerangrepet, som ikke måtte oppgi sine personlige data for å få tilgang til applikasjonen.

I følge cybersikkerhets- og blokkjedeanalyseselskapet PeckShield, beløper tyveriet seg til nøyaktig 1728 ETH, verdt 4.85 millioner dollar, og 409 BTC, verdt nesten 21 millioner dollar.

Det meste av eteren fra hacket har allerede blitt overført til et bredt spekter av desentraliserte børser på Ethereum-blokkjeden.

FixedFloat har rapportert at de jobber med rettshåndhevelse, rettsmedisinske blokkjedeselskaper og kryptovalutabørser for å spore opp hackerne, som ennå ikke har kontaktet børsen. 

Selskapet har erklært at det vil oppfylle alle sine betalingsforpliktelser så snart den gjenopptar driften og er sikker på at sentralen vil være trygg å bruke igjen.

En del av den stjålne BTC-en fra hacket ble resirkulert gjennom en coinjoin-operasjon

Mens ETH stjålet fra hacket til den desentraliserte applikasjonen FixedFloat lett har blitt flyttet til dusinvis av forskjellige adresser og sirkulert gjennom Ethereum-blokkjeden, BTC som er en del av det samme byttet er i ferd med å bli resirkulert med coinjoin-transaksjoner.

Vi minner deg om at coinjoin er en type Bitcoin-operasjon, teoretisert for første gang av Gregory Maxwell i 2013, der flere BTC-betalinger kombineres til en enkelt transaksjon, noe som gjør det vanskelig å fastslå hvilke adresser som har brukt hvilket beløp.

I likhet med det som skjer med desentraliserte miksere som Tornado Cash, kombineres coinjoin-transaksjoner sammen for å lage en enkelt transaksjon i en felles pool, som innskytere kan be om tilbake fra «samlede» og anonyme midler.

I vårt tilfelle utnyttet hackeren en slags mikser som bruker en metode for å øke personvernet som ligner på coinjoin, hvor flere BTC allerede har blitt utvekslet.

Spesielt kan vi bekrefte at i henhold til det som ble forklart av en forsker web3 på X, har en del av de stjålne midlene, for å være nøyaktig 2.7544 BTC, strømmet inn i adressen

34F2Jjmzo4N3kz3zVVBbqr3nn6NkvQvNjA, som tilhører CEX TradeOgre.

Disse pengene kan representere provisjonen betalt av den ondsinnede skuespilleren for å bruke mikseren, som synes skal kobles til Whirpool-applikasjonen som implementerer et avansert personvernsystem.

Det antas at 166 av de 409 BTC som er stjålet fra den desentraliserte applikasjonen FixedFloat allerede har gått gjennom Whirpool-mikseren.

Hendelser som dette er vanlig i kryptografiske miljøer, spesielt i ikke-KYC-miljøer som på en eller annen måte beskytter anonymiteten til hackere.

I følge det rettsmedisinske undersøkelsesselskapet Chainalysis på kjeden, til tross for de mange hendelsene registrert i 2023 hacks og utnyttelser er avtagende sammenlignet med året før, da det var en boom i tyverier.

Samlet sett har verdien av hackede midler sunket med omtrent 54.3 % sammenlignet med 2022 med et totalt stjålet beløp på omtrent 1.7 milliarder dollar, hovedsakelig avledet fra DeFi-applikasjonshack.