Злоумышленник взломал контракт кроссчейн-моста платформы QANplatform и вывел токены QANX на сумму более $1 млн. Цена монеты обвалилась почти на 94%.
The bridge smart contract that is offline was hacked and the attacker managed to withdraw tokens. Please don’t perform any transactions related to the QANX token. We are investigating the issue and going to keep you updated.— QANplatform (@QANplatform) October 11, 2022
Специалисты компании PeckShield сообщили, что хакер обменял активы на ~3090 BNB (~$0,8 млн) и ~256 ETH ($0,3 млн). Он начал переводить средства в миксер Tornado Cash.
#PeckShieldAlert The @QANplatform exploiter has swapped tons of stolen $QANX to ~3,090 $BNB ($837.5k) and ~256 $ETH ($328k) and started to transfer to Mixer (Tornado Cash) https://t.co/6Hn73CxJ5b pic.twitter.com/CsiA9pBgwr— PeckShieldAlert (@PeckShieldAlert) October 11, 2022
Эксперты из BlockSec отметили, что хакер использовал уязвимость инструмента Profanity для создания персонифицированных "адресов тщеславия" (vanity address). Подобный был использован для развертывания протокола.
We confirmed that @QANplatform deployer address (0x68e8198d5b3b3639372358542b92eb997c5c314a) are vulnerable to the profanity vulnerability. The private keys can be recovered. Multiple attackers have exploited this vulnerability. pic.twitter.com/wlq7ZlmF8I— BlockSec (@BlockSecTeam) October 11, 2022
В BlockSec считают, что этим багом воспользовались уже несколько злоумышленников. Однако команда платформы ParaSwap, например, опровергла подобные подозрения специалистов по кибербезопасности из Supremacy.
1/ Hi @paraswap ,I heard that you want to see this? your deployer address private key may have been compromised (possibly due to Profanity vulnerability) and funds have been stolen on multiple chains.https://t.co/ijHaTwAj0l— Supremacy Inc. (@Supremacy_CA) October 11, 2022
Разработчики QANplatform после инцидента изъяли ликвидность в QANX с децентрализованных бирж Uniswap и PancakeSwap. Они также приостановили торговлю и вывод средств на централизованных платформах. Согласно CoinGecko, токен находится в листинге BitMart, Gate.io и MEXC Global.
The trading, deposits and withdrawals on CEXes has been paused. The liquidity has been withdrawn from Uniswap and Pancakeswap to mitigate the losses of users and further draining of the liquidity pool.— QANplatform (@QANplatform) October 11, 2022
Цена QANX обвалилась почти на 94%, до уровня $0,0007. Рыночная капитализация токена составляет ~$1,6 млн.
Данные: CoinGecko.
Напомним, за третий квартал 2022 года потери экосистемы Web3 от взломов и мошенничества составили $428,7 млн.
Из общего показателя на хакерские атаки пришлось $399 млн. Большая часть убытков пришлась на два инцидента — с кроссчейн-протоколом Nomad ($190 млн) и маркетмейкером Wintermute ($160 млн).
