THORSwap ogłasza nagrodę związaną z exploitem portfela założyciela THORChain na ponad 1 mln dolarów: analitycy onchain

THORChain DEX aggregator THORSwap w ciągu ostatnich kilku dni wielokrotnie oferował nagrodę dla osoby, która wykorzystała portfel osobisty użytkownika, a według ZachXBT ofiarą prawdopodobnie jest założyciel THORChain, John-Paul Thorbjornsen.

"Oferta nagrody: Zwróć $THOR za nagrodę. Skontaktuj się z contact @ thorswap.finance lub na Discordzie THORSwap w celu zawarcia transakcji OTC," brzmi najnowsza wiadomość onchain do hakera z piątkowego poranka. "Nie zostaną podjęte żadne kroki prawne, jeśli środki zostaną zwrócone w ciągu 72 godzin."

Firma zajmująca się bezpieczeństwem blockchain, PeckShield, zwróciła uwagę na te wiadomości na X, początkowo sugerując, że sam protokół THORChain padł ofiarą exploita na kwotę około 1.2 miliona dolarów. Jednak ten post został później sprostowany, potwierdzając, że to portfel osobisty użytkownika został wykorzystany po wyjaśnieniach ze strony zespołu THORChain. "To zdarzenie dotyczyło wykorzystania portfela osobistego użytkownika i nie jest związane z THORChain," poinformował projekt. "To jedynie oferta nagrody za zwrot skradzionych aktywów. Żaden protokół (thorchain ani thorswap) nie został wykorzystany." Dodał także CEO THORSwap, "Paper X".

Prawdopodobna ofiara: założyciel THORChain

Odpowiadając na post PeckShield na X, onchainowy detektyw ZachXBT stwierdził, że wykorzystany portfel prawdopodobnie należy do założyciela THORChain, John-Paula Thorbjornsena, któremu we wtorek północnokoreańscy hakerzy wyczyścili portfel osobisty na kwotę 1.35 miliona dolarów.

Źródłem ataku była wiadomość z przejętego konta Telegram znajomego założyciela THORChain, zawierająca fałszywy link do spotkania na Zoom, co Thorbjornsen potwierdził na początku tygodnia. "No więc ten atak w końcu się zmaterializował," napisał we wtorek. "Stary MetaMask został wyczyszczony."

Thorbjornsen powiedział, że portfel MetaMask znajdował się tylko w innym wylogowanym profilu Chrome, a jego klucz był przechowywany w iCloud Keychain, jednak atakujący prawdopodobnie uzyskali dostęp do jednego lub obu za pomocą exploita 0-day — co wzmacnia jego przekonanie, że portfele z podpisem progowym, które dzielą udziały klucza między urządzenia, są jedyną realną ochroną.

Zgodnie z informacjami ZachXBT, atakujący ukradł około 1.03 miliona dolarów w tokenach Kyber Network oraz 320 000 dolarów w tokenach THORSwap. Adres złodzieja przesłał środki na ten sam adres "Exploiter 6", na który wysyłano wiadomości z ofertą nagrody onchain. Większość skradzionych środków, odpowiadająca kwocie 1.2 miliona dolarów podanej przez PeckShield, obecnie znajduje się na adresie zaczynającym się od "0x7Ab", najwyraźniej zamieniona na ETH, zauważył ZachXBT na swoim oficjalnym kanale Telegram.

The Block skontaktował się z Thorbjornsenem w celu uzyskania komentarza.