PeckShield izlemesine göre topluluk katılımcıları, bir KyberSwap saldırganının AVAX'ta 361.876 USDC.e iade ettiğini tespit etti.

Kyber Network, sosyal medyada KyberSwap ekibinin, bu güvenlik açığında Polygon ve Avalanche'deki KyberSwap havuzlarından yaklaşık 5,7 milyon dolar değerinde fon çeken ön robotların sahipleriyle temasa geçtiğini bildirdi. Ön çalıştırma botunun sahibiyle, ödülün %10'u karşılığında işgal ettiği kullanıcı fonunun %90'ını 0x8180 adresine iade etmesi konusunda görüştük. Şu ana kadar bu işlemler aracılığıyla Polygon'daki KyberSwap dağıtımcı adreslerine yaklaşık 4,67 milyon dolar değerinde fon iade edildi. Ön çalıştırma botundan kullanıcı fonlarını kurtardıktan sonra, güvenlik görevlilerini ve siber güvenlik yetkililerini, kullanıcı fonlarını istismarın faillerinden takip etme ve kurtarma konusunda desteklemeye devam edeceğiz.

CertiK, sosyal medyada KyberSwap tarafından saldırıya uğrayan güvenlik açığının KyberSwap Elastic'in computeSwapStep() fonksiyonunun uygulanmasında bulunduğunu bildirdi. Bu fonksiyon, düşülecek veya eklenecek gerçek döviz giriş/çıkış tutarını, tahsil edilecek döviz ücretini ve ortaya çıkan sqrtP'yi hesaplar. İşlev önce calcReachAmount() işlevini çağırır ve saldırganın takasının onay işaretini geçmeyeceği, ancak yanlışlıkla "calcFinalPrice" çağrılarak hesaplanan targetSqrtP'den biraz daha yüksek bir fiyat ürettiği sonucuna varır. Bu nedenle likiditenin kaldırılamaması saldırıya yol açtı. Saldırgan, çapraz takas likidite sayımlarından yararlanarak, düşük likidite içeren birçok KyberSwap havuzunu tüketerek, boş onay aralığındaki likidite havuzları üzerinde karmaşık hesaplama işlemleri gerçekleştirdi.

24 Kasım tarihli habere göre KyberSwap ekibi, zincirdeki bilgisayar korsanlarına müzakere bilgilerini yayınladı ve bilgisayar korsanlarının, tüm kullanıcıların paralarını güvenli bir şekilde iade etmek için çalınan fonların %10'unu ödül olarak bırakabileceğini belirtti. KyberSwap, hacker'ın saldırıyı gerçekleştirme yönteminin farkında olduğunu belirterek, hacker'a çalınan fonların %90'ını 0x8180 ile başlayan adrese iade etmesi için 25 Kasım Pekin saati 14:00'a kadar süre verdiğini, aksi takdirde hacker'ın iade edeceğini belirtti. Bilgisayar korsanının bilgilerini takip etmeye devam edin.

Ambient borsasının kurucusu Doug Colkitt'in sosyal medyadaki bir gönderisine göre KyberSwap, saldırganlar tarafından "sonsuz para birimi güvenlik açığı" kullanılarak 46 milyon dolarlık kripto para birimini çalmak için kullanıldı. Saldırganlar sonunda bireysel havuzlara birden fazla saldırı düzenleyerek fonları çalmayı başardılar. Colkitt, saldırıyı şimdiye kadar gördüğü "en karmaşık ve ayrıntılı akıllı sözleşme saldırısı" olarak nitelendirdi. KyberSwap ekibine, saldırganın fonların bir kısmını iade etmek için pazarlık yapmaya istekli olduğu bilgisi verildi.

Lookonchain istatistiklerine göre, son 20 gün içinde 290 milyon ABD dolarını aşan fonlarla beş büyük hack saldırısı gerçekleşti. Kronos Research: 25,65 milyon ABD Doları; KyberSwap: 46,5 milyon ABD Doları; Poloniex: 118 milyon ABD Doları; HECO Bridge: 86,6 milyon ABD Doları; HTX Exchange: 13,6 milyon ABD Doları.

Cyvers Alerts, X platformunda KyberSwap'e saldırıyı başlatan hackerın müzakereler için ekiple iletişime geçtiğini paylaştı.

BlockSec, X platformunda KyberSwap'in saldırıyı fiyat manipülasyonu ve çift likidite sayımı yoluyla gerçekleştirdiğini belirten bir belge yayınladı. Saldırgan flaş krediler aldı ve daha az likit olan havuzları boşalttı. Takaslar yaparak ve pozisyon değiştirerek kurban havuzunun gerçek zamanlı fiyatlarını ve fiyat hareketlerini manipüle ettiler. Sonuçta saldırgan birden fazla takas adımını ve çapraz fiyatlama işlemlerini tetikledi ve bu da çift likidite sayımına neden olarak havuzun tükenmesine neden oldu.

Ethereum'un ZK Rollup tabanlı ikinci katman ağı Scroll, Kyber'in Scroll üzerinde konuşlandırılmasıyla ilgili olası sorunları araştırdığını tweetledi. Ne olduğu henüz bilinmiyor ancak herkesin son derece dikkatli olması tavsiye ediliyor.

Spot On Chain izlemesine göre KyberSwap, Arbitrum, Optimism, Ethereum, Polygon ve Base dahil olmak üzere birden fazla ağda saldırıya uğradı. Zarar, 16.217 ETH (33.5 milyon ABD Doları değerinde), 3.987.332 ARB (4.06 milyon ABD Doları değerinde), 591.441 OP (1.03 milyon ABD Doları değerinde) ve 1.111.926 DAI dahil olmak üzere 48,3 milyon ABD Doları tutarında gerçekleşti.