Протокол Qubit Finance стал предметом взлома на 80 миллионов долларов. Уязвимость нашлась в его функции депозита QBridge между Ethereum и смарт-цепочкой Binance. К сожалению для команды, стоящей за Qubit, это не первая их беда. Так как команда столкнулась с парой взломов в 2021 году, работая с PancakeBunny.
Qubit Finance: первые сведения о взломе
Последняя атака была отмечена пользователем Twitter @claudeshannon.eth. Он обратил внимание на таинственную активность по выводу средств, связанную с Qubit на BscScan около 22:19 UTC. Чуть более чем через час взлом был распознан и признан Пекшилдом, известным аудитором безопасности блокчейна.
«Похоже, что QBridge @QubitFin взломан. Цель злоумышлеников – получить огромное количество залогового обеспечения xETH. А потом слить средства пула примерно на 80 миллионов долларов», – написал Пекшилд в твиттере незадолго до полуночи. «Пожалуйста, обратите внимание, что мы проверили кредитование Qubit, а не QBridge! Еще многое впереди…»
Certik, еще один аудитор безопасности блокчейна, также изложил свою точку зрения в Twitter. Команда Certik подтвердила, что blackhat заработал 77 162 доллара qXETH. А на тот момент составляло примерно 80 миллионов долларов.
«Контракт на мост@QubitFin, QBridge, использовал эксплойт и отчеканил 77 162 qXETH стоимостью 80 миллионов долларов», – написал Сертик в твиттере, начиная поток объяснений из нескольких частей.
Ответ от Qubit
По мере того как появлялось все больше новостей, команда Qubit проинформировала сообщество об эксплойте несколькими твитами. Команда Qubit в конечном итоге опубликовала отчет, в котором объяснялись детали атаки.
«Таким образом, функция депозита была опцией, которую не следует использовать после того, как depositETH был разработан заново. Но она осталась в контракте», – объясняет отчет.
До сих пор команда не поймала злоумышленника и внимательно отслеживает связанные кошельки. Qubit заручился поддержкой Binance, чтобы помочь получить дополнительную информацию и найти решение.
Команда Qubit пообещала награду за ошибку в размере 250 000 долларов. Команда обратилась к хакеру с просьбой поработать с ними и вернуть средства.
Сейчас остается внимательно следить за ситуацией и надеется, что все стороны смогут найти мирное решение. Взломы никогда не бывают положительными. И всегда являются напоминанием о необходимости следить за средствами. Разработчики из Qubit, как известно, были уязвимы в прошлом, работая под управлением PancakeBunny.