分散型アプリケーションFixedFloatが26万ドルのハッキング被害に遭う

数日前、分散型非KYCアプリケーションFixedFloatがインフラストラクチャへのハッキング攻撃を受け、26万ドルの損失をもたらしました。

監査およびブロックチェーン分析会社 PeckShield によると、合計 1728 ETH と 409 BTC が盗まれ、資金の一部は分散型ミキサーやコインジョイン取引を通過することで洗浄されました。

フィックスフロートは、ユーザーの資金は安全であり、ハッキングによって仮想通貨取引所アプリケーションの財務上の安定性が損なわれることはなかったと述べた。

以下のすべての詳細。

FixedFloat 構造の脆弱性: 分散型アプリケーションが BTC と ETH で 26 万ドルのハッキング被害を受ける

17 月 XNUMX 日土曜日、分散型暗号通貨交換アプリケーションのFixedFloatがハッキングの被害者となりました。 BTCとETHで26万ドルの損失.

すべては、複数のユーザーが取引が凍結され、アカウント内の資金が不足していると報告したときに始まりました。その直後、オンチェーン分析によって次のことが判明しました。 数百万ドルがさまざまな認識されていない外部ウォレットに流出していました。

攻撃がどのように発生したかはまだ明らかではありませんが、FixedFloat チームはすぐにそれが「小さな技術的な問題」 事件の時。

同団体は、資金はプラットフォームユーザーに返金されること、そしてハッキングによって同社の財務的安定が損なわれることはなかったと発表した。

とりあえず、この記事を書いている時点では 分散型アプリケーションは非アクティブなままであり、メンテナンスモードのままです。ただし、安全に使用できることが確実になり次第、不特定の将来に再開される予定です。

ハッキング後にFixedFixedFloatによってXで報告された内容は次のとおりです。

こんにちは、
私たちは、ハッキングと資金の盗難が実際にあったことを確認しています。私たちは考えられるすべての脆弱性を排除し、セキュリティを向上させ、調査を行っているため、この問題についてパブリックコメントを行う準備はまだできていません。当社のサービスは間もなく再びご利用いただけるようになる予定です。
私達はします…
—FixedFloat⚡️ (@FixedFloat) 2024 年 2 月 18 日

この分散型取引所は非 KYC サービスで知られており、古典的な「顧客確認」手順に基づく登録が不要であり、プライバシーの面で競争上の優位性が得られます。

匿名性を維持し、ライトニングネットワークを介したビットコインでの取引を顧客に提供することで、FixedFloat は米国の幅広いユーザーを魅了してきました。

部分的には、匿名性の特性と内部統制の欠如が、アプリケーションにアクセスするために個人データを提供する必要がなかった悪意のあるハッカーの攻撃を助長しました。

サイバーセキュリティおよびブロックチェーン分析会社 PeckShield によると、盗難額は正確に1728 ETH（4.85万ドル相当）、409 BTC（約21万ドル相当）に相当します。

ハッキングによるイーサの大部分は、すでにイーサリアムブロックチェーン上の幅広い分散型取引所に転送されています。

フィックスフロートは、法執行機関、ブロックチェーンフォレンジック企業、仮想通貨取引所と協力して、まだ取引所に連絡を取っていないハッカーを追跡していると報告した。

同社はすべての支払い義務を履行すると述べた 運用が再開され、取引所が再び安全に使用できることが確実になったらすぐに。

ハッキングにより盗まれたBTCの一部は、コインジョイン操作を通じてリサイクルされました

分散型アプリケーションFixedFloatのハッキングによって盗まれたETHは簡単に数十の異なるアドレスに移動され、イーサリアムブロックチェーンを通じて流通しましたが、 同じ戦利品の一部であるBTCはリサイクルされようとしています コインジョイントランザクションを使用します。

Coinjoin は、2013 年に Gregory Maxwell によって初めて理論化された、ビットコイン操作の一種であることを思い出してください。 複数の BTC 支払いを 1 つのトランザクションにまとめますそのため、どのアドレスがどの金額を費やしたかを判断することが困難になります。

Tornado Cash のような分散型ミキサーで起こることと同様に、coinjoin トランザクションは結合プール内で 1 つのトランザクションを作成するために結合され、そこから預金者は自分のトランザクションをリクエストできます。 「プールされた」匿名の資金。

私たちの場合、ハッカーはコインジョインと同様のプライバシーを高める方法を使用する一種のミキサーを悪用し、すでに数ビットコインが交換されていました。

特に、X の研究者 web3 が説明した内容によれば、盗まれた資金の一部、正確には 2.7544 BTC がこのアドレスに流入したと断言できます。

34F2Jjmzo4N3kz3zVVBbqr3nn6NkvQvNjA、CEX TradeOgre に属します。

このお金は、悪意のある攻撃者がミキサーを使用するために支払った手数料を表す可能性があります。 と思われる 高度なプライバシーシステムを実装する Whirpool アプリケーションにリンクされます。

分散型アプリケーションFixedFloatから盗まれた166BTCのうち409ビットはすでにWhirpoolミキサーを通過したと考えられている。

このような事件は、暗号環境、特にハッカーの匿名性を何らかの形で保護する非 KYC 環境ではよくあることです。

オンチェーンフォレンジック調査会社Chainaracyによると、2023年に多数の事件が記録されたにもかかわらず、 ハッキングとエクスプロイトは前年に比べて減少している、盗難ブームがあった頃。

全体として、ハッキングされた資金の価値は54.3年と比較して約2022%減少し、盗まれた総額は約1.7億ドルで、主にDeFiアプリケーションのハッキングに由来しています。

出典: https://en.cryptonomist.ch/2024/02/20/the-decentralized-application-fixedfloat-falls-victim-to-a-26-million-hack/