По данным мониторинга PeckShield, участники сообщества обнаружили, что злоумышленник KyberSwap вернул 361 876 USDC.e на AVAX.

Kyber Network сообщила в социальных сетях, что команда KyberSwap связалась с владельцами роботов-фронтранов, которые из-за этой уязвимости вывели средства на сумму около $5,7 млн ​​из пулов KyberSwap на Polygon и Avalanche. Мы договорились с владельцем фронтран-бота о возврате 90% занятых им пользовательских средств по адресу 0x8180 в обмен на 10% баунти. На данный момент посредством этих транзакций на адреса развертывателей KyberSwap в Polygon были возвращены средства на сумму около 4,67 миллиона долларов. После восстановления средств пользователей с помощью бота Frontrun мы продолжим оказывать поддержку правоохранительным органам и органам кибербезопасности в отслеживании и восстановлении средств пользователей у злоумышленников.

Компания CertiK опубликовала в социальных сетях сообщение о том, что уязвимость, на которую атакует KyberSwap, существует в реализации функции ComputeSwapStep() в KyberSwap Elastic. Эта функция вычисляет фактическую сумму ввода/вывода обмена, подлежащую вычету или добавлению, взимаемую комиссию за обмен и результирующий sqrtP. Функция сначала вызывает функцию CalcReachAmount(), делая вывод, что своп злоумышленника не пересечет галочку, но по ошибке выдаст немного большую цену, чем targetSqrtP, рассчитанную с помощью вызова «calcFinalPrice». Таким образом, ликвидность не была удалена, что привело к атаке. Злоумышленник выполнил сложные вычислительные операции с пулами ликвидности в пустом диапазоне тиков, используя счетчики ликвидности перекрестного обмена, истощая многие пулы KyberSwap с низкой ликвидностью.

Согласно новостям от 24 ноября, команда KyberSwap предоставила хакерам в сети информацию о переговорах, заявив, что хакеры могут оставить 10% украденных средств в качестве награды за безопасное возвращение средств всех пользователей. KyberSwap заявила, что знает о методе проведения атаки хакером, и дала хакеру до 14:00 25 ноября по пекинскому времени вернуть 90% украденных средств на адрес, начинающийся с 0x8180, в противном случае он будет продолжать преследовать информацию хакера.

Согласно сообщению в социальных сетях основателя биржи Ambient Дуга Колкитта, злоумышленники использовали KyberSwap, используя «бесконечную валютную уязвимость», для кражи 46 миллионов долларов в криптовалюте. В конечном итоге злоумышленникам удалось похитить средства посредством многочисленных атак на отдельные пулы. Колкитт назвал эту атаку «самой сложной и продуманной атакой на смарт-контракты», которую он когда-либо видел. Команде KyberSwap сообщили, что злоумышленник готов вести переговоры о возврате части средств.

Согласно статистике Lookonchain, за последние 20 дней произошло пять крупных хакерских атак, средства которых превысили 290 миллионов долларов США. Kronos Research: 25,65 млн долларов США; KyberSwap: 46,5 млн долларов США; Poloniex: 118 млн долларов США; HECO Bridge: 86,6 млн долларов США; HTX Exchange: 13,6 млн долларов США.

Cyvers Alerts разместила на платформе X сообщение о том, что хакер, запустивший атаку на KyberSwap, связался с командой для переговоров.

BlockSec опубликовал документ по платформе X, в котором говорится, что KyberSwap реализовал атаку посредством манипулирования ценами и двойного подсчета ликвидности. Злоумышленник взял срочные кредиты и опустошил менее ликвидные пулы. Выполняя свопы и меняя позиции, они манипулировали ценами и движениями цен пула-жертвы в реальном времени. В конечном итоге злоумышленник инициировал несколько шагов свопа и операций кросс-котировок, что привело к двойному подсчету ликвидности, что истощило пул.

Scroll, сеть второго уровня Ethereum, основанная на ZK Rollup, написала в Твиттере, что расследует потенциальные проблемы с развертыванием Kyber на Scroll. Пока неизвестно, что произошло, но всем рекомендуется быть очень осторожными.

По данным мониторинга Spot On Chain, KyberSwap подвергся атаке в нескольких сетях, включая Arbitrum, Optimism, Ethereum, Polygon и Base. Убыток составил 48,3 миллиона долларов США, в основном включая 16 217 ETH (оценкой 33,5 миллиона долларов США), 3 987 332 ARB (оценкой 4,06 миллиона долларов США), 591 441 OP (оценкой 1,03 миллиона долларов США) и 1 111 926 DAI.