Ο ερευνητής ασφάλειας Blockchain, ZachXBT, αποκάλυψε ότι το έργο GANA Payment, το οποίο λειτουργεί στο $BNB Smart Chain, υπέστη μια σοβαρή εκμετάλλευση που οδήγησε σε απώλειες άνω των 3,1 εκατομμυρίων δολαρίων. Ο επιτιθέμενος κατάφερε να ξεπλύνει ένα σημαντικό μέρος των κλεμμένων χρημάτων μέσω του Tornado Cash, τόσο στο δίκτυο BSC όσο και στο Ethereum, ενώ περίπου 1 εκατομμύριο δολάρια παραμένουν ανενεργά στο blockchain του Ethereum.

Σύμφωνα με πληροφορίες που μοιράστηκε ο ZachXBT στο κανάλι του στο Telegram, ο επιτιθέμενος συγκέντρωσε την κλοπή στη διεύθυνση 0x2e8***5c38 πριν καταθέσει 1.140 $BNB, αξίας 1,04 εκατομμυρίων δολαρίων, στο Tornado Cash στο BSC. Στη συνέχεια, ο επιτιθέμενος μετέφερε τα κλεμμένα κεφάλαια στο Ethereum και κατέθεσε άλλα 346,8 $ETH, αξίας 1,05 εκατομμυρίων δολαρίων, μέσω του μίκτη απορρήτου, αν και 346 $ETH παραμένουν ανενεργά στη διεύθυνση 0x7a503***b3cca.

Η τεχνική ανάλυση αποκάλυψε ότι η εκμετάλλευση προήλθε από κακόβουλη αλλαγή της ιδιοκτησίας του συμβολαίου του GANA, δίνοντας στον χάκερ μη εξουσιοδοτημένο έλεγχο του μηχανισμού Staking του πρωτοκόλλου και επιτρέποντάς του να χειραγωγήσει τα ποσοστά ανταμοιβής. Αυτή η μεταφορά ιδιοκτησίας επέτρεψε στον επιτιθέμενο να ενεργοποιήσει τις λειτουργίες αποδέσμευσης και να λάβει σημαντικά περισσότερους GANA Tokens από ό,τι το σύστημα προοριζόταν να διανείμει.

Η HashDit, μια εταιρεία ασφάλειας blockchain, εξέδωσε επείγουσα προειδοποίηση, προειδοποιώντας τους χρήστες να μην διαπραγματεύονται με το token GANA μέχρι να υπάρξει επίσημη ανακοίνωση από την ομάδα. Η εκμετάλλευση αυτή προστίθεται σε μια σειρά περιστατικών ασφαλείας στο BSC, το οποίο είχε δει σχετικά λίγες μεγάλες επιθέσεις τους τελευταίους μήνες.

Η επίσημη ομάδα του GANA ανταποκρίθηκε με μια επείγουσα ανακοίνωση, αναγνωρίζοντας την εξωτερική επίθεση στο συμβόλαιο αλληλεπίδρασής τους και επιβεβαιώνοντας την κλοπή μη εξουσιοδοτημένων περιουσιακών στοιχείων. Η ομάδα τόνισε ότι συνεργάζεται με μια ανεξάρτητη τρίτη εταιρεία ασφάλειας για να διεξάγει μια επείγουσα έρευνα, αναλύοντας το επιθετικό vector και αξιολογώντας την πλήρη έκταση της επίδρασης.

Η GANA υποσχέθηκε να ενεργοποιήσει ένα ολοκληρωμένο σχέδιο επαναφοράς, συμπεριλαμβανομένου του πλήρους χαρτογραφίου όλων των διευθύνσεων περιουσιακών στοιχείων των χρηστών και των σχετικών αδειών. Ζήτησαν συγγνώμη για την αναστάτωση που προκλήθηκε από το περιστατικό και υποσχέθηκαν να μοιραστούν λεπτομερή σχέδια αποκατάστασης και χρονοδιαγράμματα μέσω επίσημων καναλιών σύντομα.

Για περισσότερες πληροφορίες, μπορείτε να επισκεφθείτε τις παρακάτω πηγές: