Feltörték a magyar Qanplatform tokenjét, 270 millió forint a veszteség
A QANplatform egy hibás keresztlánc bridge feltörése miatt vált áldozattá. A támadó mintegy 650 000 dollár értékű QANX tokennel volt képes meglépni.
A QANX tokenek mozgatására – egyik láncról a másikra – egy központilag futtatott ellenőrző szoftver segítségével volt lehetséges. Úgy tűnik, hogy ez a validátor nem működött megfelelően, a támadó pedig ezt kijátszva 96 millió QANX tokenre tett szert:
1. A támadó először 1 QANX tokent küldött be a BSC bridge-be: https://bscscan.com/tx/0xcf0a3e8a7a76241075f9c942af2780532295e209d5f89d180adbdc2bab07392b
2. Majd két percre rá az Ethereum blokkláncon több mint 4.8 millió tokent kért ki ugyanarra a tárcára:
https://etherscan.io/tx/0xf5a99333c4eeecf418e3f85079f49964962a32785f3035947f1917889b6788c8
A támadónak sikerült elhitetnie az off-chain validátorral, hogy a tárca több mint 4.8 millió QANX tokenre jogosult, miközben valójában csak egyet utalt be a bridge-be. Ezután még 20-szor megismételte a műveletet.
$650k was lost in another cross-chain bridge hack.
This time the victims are @QANplatform and $QANX token holders.The hacker exploited a vulnerability in the centrally operated off-chain message signer. Let’s explore how that happened 👇 1/10 pic.twitter.com/XthOSccSP1
— ivo.eth (@IvoElenchev) May 19, 2022
A QANplatform hivatalos Twitter profilján már értesítette a közösséget a támadásról, és Polecsák Johann társalapító és elmondása szerint dolgoznak a hibán. Egy későbbi tweetben megerősítették, hogy a hibát egy patch-el javítani fogják és addig a BSC-ETH bridge-t szüneteltetik, illetve felvették a kapcsolatot azokkal a váltókkal, ahol a QAN listázásra került.
Az első itt beágyazott tweetben 650 ezer USD veszteségről írnak, ugyanakkor a kriptobiztonság.hu oldal szerkesztőjének elmondása szerint 43 ETH (mintegy 31 millió HUF) kimaradt a számításból. A tárcát összesen 368 ETH hagyta el, és ezért a teljes veszteség inkább 740 ezer dollár körülire becsülhető, írja egy posztban.
Az ellopott QANX tokenek összege ennél jóval nagyobb (96 millió token), de nyilván a támadó gyorsan próbált megszabadulni tőle, ami az árfolyam ideiglenes bezuhanását okozta: https://poocoin.app/tokens/0xaaa7a10a8ee237ea61e8ac46c50a8db8bcc1baaa
7 millió QANX egyébként még mindig a támadó tárcájában van, nagyjából 36 millió forint értékben: https://etherscan.io/address/0x1c8465662cAA8005ed41430e433E399c699cbcE2
