По словам члена команды разработчиков проекта, использование Uranium Finance, децентрализованного финансового протокола на Binance Smart Chain, стоимостью 50 миллионов долларов могло быть внутренней работой.
Теория была выдвинута в Telegram-канале Uranium Finance пользователем по имени «Бэймакс», который, похоже, указан как администратор. В прикрепленном посте Бэймакс объяснил, что брешь в безопасности, которая привела к эксплойту, произошла всего за два часа до запуска версии 2 протокола. Подозрительное время срабатывания эксплойта значительно сужает список потенциальных преступников.
Baymax объяснил:
«Всего в Uranium 7 человек знали об этой эксплойте. Помимо Uranium, это могут быть 3 аудитора-подрядчика и их соответствующие суб-консультанты, которые могут знать об этом недостатке ».
Они продолжили:
«Судя по информации, которую мы собрали при участии сообщества, можно предположить, что кто-то допустил утечку информации, которая могла привести к тому, что злоумышленники узнали о наших уязвимостях».
На официальном сайте Uranium Finance нет членов команды, поэтому трудно экстраполировать дальнейшую экстраполяцию относительно того, как произошла эксплойт или кто мог быть ответственным за это.
Baymax призвал более 4100 участников канала Telegram писать им напрямую и избегать любых контактов с другими модераторами или членами команды. Тем временем затронутых пользователей также попросили прекратить добавление ликвидности и обналичить деньги, если это вообще возможно.
Отдельная группа Telegram для жертв атаки уже создана, на момент написания статьи насчитывается более 1200 участников. В прикрепленном сообщении Baymax сообщил затронутым пользователям, что они будут предоставлять дальнейшие обновления по мере их поступления. “[W]«Хейлс или пользователи, которые потеряли более 300 тысяч долларов, должны написать мне в личку», – сказали они.
Похищенные средства уже находятся в движении, а преступник направляет миллионы через Tornado Cash, инструмент обеспечения конфиденциальности на основе Ethereum.
Эксплойты и взломы безопасности не являются чем-то новым для сообщества криптовалют. По крайней мере, по одной оценке, было 122 связанных с криптовалютами хаки только в 2020 году, когда эксплуатируемые активы оцениваются в миллиарды по сегодняшним ценам.