Инфраструктурный протокол Socket потерял $3,3 млн в результате взлома

Разработчики инфраструктурного кроссчейн-протокола Socket сообщили о взломе: хакерам удалось вывести с кошельков пользователей около $3,3 млн.

После этого работа смарт-контрактов была остановлена. Протоколом Socket пользуется достаточно большое количество проектов Web3, включая Synthetix, Lyra, Kwentra, Superform, Plasma Finance и Level Finance. 

Судя по всему, злоумышленникам удалось обнаружить уязвимость, которая давала доступ к средствам на счетах пользователей, ранее взаимодействовавших с протоколом. Под угрозой оказались кошельки, которые выдавали безлимитные, либо завышенные разрешения на вывод средств.

По данным аналитической компании PeckShield, новый маршрут, который оказался подвержен уязвимости, был добавлен в смарт-контракты протокола всего 3 дня назад.

Скорее всего, разработчики недостаточно протестировали новый функционал. «Смысл в том, что хакеры могут выводить средства до установленного ограничения для адреса протокола Socket.

Например, пользователь переводит $1 000, но установил ограничение на $2 000. Это позволит хакерам вывести эту дополнительную тысячу долларов», ― рассказал директор по исследованиям The Block Стивен Чжэн (Steven Zheng). В начале января хакерам удалось получить доступ к средствам кредитного протокола Radiant Capital и вывести $4,5 млн.