Хакер выпустил квадриллион токенов в результате атаки на кроссчейн-мост MAP Protocol

Проект MAP Protocol и связанная с ним экосистема Butter Network столкнулись с масштабной компрометацией. Согласно данным аналитической компании Blockaid, хакер сумел атаковать кроссчейн-мост на базе сетей Ethereum (ETH) и BNB Chain (BNB).

По данным исследователей, злоумышленник заставил смарт-контракт Butter Bridge V3.1 выпустить на свой адрес около одного квадриллиона токенов MAPO, что превышает легальное рыночное предложение монет примерно в 4,8 млн раз.

Источник: Etherscan.

Теханализ инцидента выявил проблему на уровне программного кода Solidity. Исследователи зафиксировали коллизию при упаковке динамических полей данных в функции повтора транзакций моста.

«Из-за этого дефекта сфальсифицированная хакером повторная заявка обошла встроенную верификацию безопасности. На кошелек атакующего ушел гигантский объем необеспеченных токенов, хотя базовая система проверки клиентов и мультиподпись оракулов не пострадали», — рассказали исследователи.

По их словам, злоумышленник уже успел продать первую партию токенов в размере 1 млрд MAPO через децентрализованную биржу Uniswap V4.

«Шаг позволил ему вывести около 52,21 ETH, что эквивалентно $180 000 чистых убытков для пула ликвидности. На кошельке хакера по-прежнему зависло порядка 999,999 млрд MAPO, что создает перманентную угрозу для любых торговых пар на биржах», — согласно Blockaid.

Нативный токен проекта отреагировал на новость падением с $0,003 до $0,0003, но позже скорректировался до текущих $0,0019. Это минус 36% стоимости, по данным CoinMarketCap.

Динамика MAPO/USD. Источник: CoinMarketCap.

По теме: Echo Protocol в сети Monad взломали. Ущерб составил $76,7 млн

Что делать пользователям?

Разработчики MAP Protocol и Butter Network оперативно отреагировали на инцидент, остановив кроссчейн-мост между токенами стандарта ERC-20 и основной сетью.

Представители проекта ButterSwap также заморозили торговые операции на время проведения внешнего аудита безопасности и подготовки патчей.

Разработчики заверили клиентов, что зависшие в очередях транзакции будут обработаны после перезапуска сети, а «средства пользователей находятся в безопасности».

«Ни в коем случае не обменивайте MAPO на Uniswap», — написали у себя в соцсетях представителей проектов.

Пользователей также призвали игнорировать любые сообщения от имени службы поддержки, потому что «команда никогда не пишет первой, не требует сид-фразы или подписи транзакций для восстановления кошельков».

По теме: мост Verus-Ethereum взломали. Ущерб составил $11,58 млн