Специалисты компании PeckShield сообщили, что хакер обменял активы на ~3090 BNB (~$0,8 млн) и ~256 ETH ($0,3 млн). Он начал переводить средства в миксер Tornado Cash.
Эксперты из BlockSec отметили, что хакер использовал уязвимость инструмента Profanity для создания персонифицированных «адресов тщеславия» (vanity address). Подобный был использован для развертывания протокола.
We confirmed that @QANplatform deployer address (0x68e8198d5b3b3639372358542b92eb997c5c314a) are vulnerable to the profanity vulnerability. The private keys can be recovered. Multiple attackers have exploited this vulnerability. pic.twitter.com/wlq7ZlmF8I
В BlockSec считают, что этим багом воспользовались уже несколько злоумышленников. Однако команда платформы ParaSwap, например, опровергла подобные подозрения специалистов по кибербезопасности из Supremacy.
1/ Hi @paraswap ,I heard that you want to see this? your deployer address private key may have been compromised (possibly due to Profanity vulnerability) and funds have been stolen on multiple chains.https://t.co/ijHaTwAj0l
Разработчики QANplatform после инцидента изъяли ликвидность в QANX с децентрализованных бирж Uniswap и PancakeSwap. Они также приостановили торговлю и вывод средств на централизованных платформах. Согласно CoinGecko, токен находится в листинге BitMart, Gate.io и MEXC Global.
The trading, deposits and withdrawals on CEXes has been paused. The liquidity has been withdrawn from Uniswap and Pancakeswap to mitigate the losses of users and further draining of the liquidity pool.
Цена QANX обвалилась почти на 94%, до уровня $0,0007. Рыночная капитализация токена составляет ~$1,6 млн.
Напомним, за третий квартал 2022 года потери экосистемы Web3 от взломов и мошенничества составили $428,7 млн.
Из общего показателя на хакерские атаки пришлось $399 млн. Большая часть убытков пришлась на два инцидента — с кроссчейн-протоколом Nomad ($190 млн) и маркетмейкером Wintermute ($160 млн).
Читайте биткоин-новости ForkLog в нашем Telegram — новости криптовалют, курсы и аналитика.