Платформа FEG лишилась $900 тыс. в результате хакерской атаки

Минувшее воскресенье стало роковым для платформы FEG. Хакеры атаковали сети Ethereum, BSC и Base, похитив более $900 тыс. в цифровых активах. О подробностях атаки рассказали исследователи из BlockSec Phalcon. В основе проблемы оказалась уязвимость в механизме обработки сообщений моста Wormhole.

Как выяснили исследователи, релеер, который отвечает за регистрацию вывода средств, не проверял, может ли источник сообщения активировать эту функцию. Это позволило злоумышленникам обмануть систему и вывести крупные суммы токенов FEG.

Пример атаки на Binance Smart Chain (BSC) показывает, как действовали хакеры. Сначала они отправили сообщение с вредоносным кодом через сеть Base. Затем релеер ошибочно разрешил вывод средств на BSC. В итоге злоумышленники перевели токены на свои адреса и извлекли прибыль.

Разработчики FEG подтвердили, что проблема затронула только мост Wormhole, в то время как основной код SmartDeFi остался в безопасности. Тем не менее работа протокола была временно приостановлена для предотвращения новых атак. Для расследования инцидента команда FEG привлекла компанию PeckShield и другие организации. По словам разработчиков, Wormhole уже проходила аудит, однако найденная уязвимость оказалась неучтенной. Отчет об аудите опубликован для открытого изучения.

Централизованные биржи получили уведомления о приостановке торговли токенами FEG, чтобы минимизировать возможные последствия. Разработчики заверяют, что безопасность пользователей остается приоритетом, и работа над устранением проблемы продолжается.

Этот случай подчеркивает важность регулярных проверок безопасности даже для уже аудированных решений. Команда FEG пообещала предоставить дальнейшие обновления по мере поступления новой информации.

Автор

Петр Иванов