BlockSec, аудиторская фирма по смарт-контрактам, не позволила хакеру украсть 2900 ETH (на сумму $5 млн) из кредитного проекта NFT Paraspace из-за серьезной уязвимости. Сообщается, что команда BlockSec обнаружила попытку взлома в режиме реального времени и спасла средства, опередив хакера.
После того, как хакер не смог провести атаку из-за низкой платы за газ, BlockSec провела аналогичную атаку и получила контроль над активами, выступая в роли «белого хакера». Компания заявила, что уведомила Paraspace о готовности вернуть средства.
«Мы отслеживали и наблюдали за неудачной транзакцией. Между тем, мы повторно развернули контракт хакера с некоторыми обновлениями для спасения», — сказал Мэтью Цзян, директор службы безопасности BlockSec.
Команда Paraspace сообщила в Твиттере, что приостановила свой протокол кредитования и расследует проблему. Разработчики добавили, что активы NFT, депонированные на платформе, находятся в безопасности.
Уязвимость в кредитных контрактах Paraspace могла позволить злоумышленнику заимствовать крипто-токены с меньшим залогом NFT, чем необходимо, что могло затем позволить хакеру истощить его ликвидность.
«В Paraspace злоумышленник может манипулировать балансом залога по кредиту», — отметил Цзян.
BlockSec добавила, что смогла предотвратить взлом с помощью внутренней системы мониторинга, которая обнаруживает случаи взлома в режиме реального времени.
«У нас есть внутренняя система, которая может отслеживать транзакции атак и пытаться автоматически их предотвращать», — сказал Лей Ву, соучредитель и технический директор BlockSec.
После инцидента хакер оставил в блокчейне сообщение BlockSec с просьбой вернуть комиссию за газ в размере около 0,7 ETH, которую он потратил на попытку взломать Paraspace.
«Я не смог заставить его работать из-за глупой ошибки в оценке газа. Поскольку я потерял много денег, пытаясь заставить его работать, было бы здорово вернуть хотя бы часть из них… удачи», – написал хакер.
Это не первый раз, когда BlockSec использует свою внутреннюю систему для спасения средств проектов. BlockSec удалось спасти 3,8 миллиона долларов от эксплуататоров Saddle Finance в апреле 2022 года. В феврале она вернула 2,4 миллиона долларов от хакеров Platypus Finance.