Платформа Pond.fun, построенная на базе Linea, потеряла 64,8 эфира в результате, судя по всему, атаки изнутри. Похищенные средства, стоимостью около 230 000 долларов по текущим ценам, были направлены через инструмент конфиденциальности, предназначенный для сокрытия транзакций в блокчейне.
Согласно сообщениям, за атакой стоял ведущий инженер-программист проекта Genesis. Он опустошил пулы ликвидности, используя свой привилегированный доступ, а затем отправил деньги через Railgun, сервис, который помогает скрыть активность в блокчейне, сообщает Pond.fun.
Хотя многие пользователи используют Railgun для защиты своей финансовой конфиденциальности, хакеры также используют его для сокрытия своей деятельности. Используя Railgun, Genesis усложнила задачу по поиску и возврату украденного Ethereum.
Сайт https://t.co/nEexigW8vL был взломан сегодня утром. Не взаимодействуйте с https://t.co/Lrt9ct9mtG ни в каком качестве. Судя по всему, эксплойтер является разработчиком программного обеспечения в команде https://t.co/Lrt9ct9mtG. Из-за этого сайты efrogs и croak также находятся под угрозой, в ожидании...
После атаки Pond.fun выпустил предупреждение для своего сообщества. Пользователям было рекомендовано не взаимодействовать с официальным сайтом платформы, а также с такими аффилированными сайтами, как Efrogs и Croak. Команда опасается, что Genesis могла скомпрометировать эти сайты, создав дополнительные риски для всех, кто попытается зайти на них.
Однако Pond.fun заверил свое сообщество, что его группы Discord и Telegram остаются в безопасности. Хотя пользователи по-прежнему могут общаться по этим каналам, сам проект сейчас находится в затруднительном положении, пытаясь локализовать ущерб.
Pond.fun нанял Chainalysis и Elliptic, две аналитические компании, специализирующиеся на блокчейне, чтобы остановить хакера от обналичивания украденной криптовалюты. Эти компании располагают высокотехнологичными инструментами, позволяющими отследить подозрительные переводы и найти, где может оказаться украденный ETH.
Это не первый случай инсайдерской атаки, потрясшей мир криптовалют. Всего за несколько дней до взлома Pond.fun разработчик Infini, необанка стабильных монеток, вывел почти 50 миллионов долларов, тайно сохранив права администратора. Эта атака была осуществлена через Tornado Cash, еще один инструмент для обеспечения конфиденциальности, часто используемый хакерами.