Coinbase vzbudila svým projektem Base nadšení mezi vývojáři i uživateli. Projekt Base postavený na druhé vrstvě Etherea byl spuštěn s více ne 100 decentralizovanými aplikacemi. Hned během prvního týdne byla ale napadena jedna z nich. Hackeři provedli útok na RocketSwap a získali privátní klíče uživatelů. Nutno říci, že tento problém nemá nic společného se samotným Base a hackeři napadli pouze aplikaci, která novou platformu od Coinbase využívala. Po napadení se uživatelé dožadovali vysvětlení, projekt ale vypnul komentáře na Telegramu i platformě X. V tuto chvíli je jisté, že hackeři ukradli 472 etherů (téměř 900 tisíc dolarů) na základě ukradených soukromých klíčů uživatelů.
Prvním vykradeným protokolem na Base se stal RocketSwap, decentralizovaný protokol pro směnu tokenů. Hackeři se k prostředkům dostali skrze ukradené soukromé klíče uživatelů a ukradené tokeny následně přenesly pomocí bridge Stargate. Jako první se do případu pustila společnost Beosin a přinesla grafické znázornění toho, jak hackeři přesouvali tokeny. Vývojáři RocketSwap se svým uživatelům omluvili a dodali, že se jednalo o brute force útok, který vedl k odcizení aktiv v poolech projektu. Na konci příspěvku doplnili větu: “Je nám líto vaší ztráty”. Po tomto vyjádření vypnuli komentáře na platformě X i na Telegramu, za což samozřejmě tým schytal obrovskou kritiku od kryptoměnové komunity.. Později se ale účet na X projektu RocketSwap začal plnit příspěvky vývojářů, kteří podávají zprávy o tom, jak v řešení problému postupují. Dosud ale není možné příspěvky RocketSwap na sociálních sítích komentovat.
RocketSwap on BASE was exploited for 472 $ETH (~$869k) due to the deployer's private key compromise, resulting in assets in the farm contracts being transferred to the attacker's account. The project has now shut down the farm contracts.
The attacker has swapped the stolen… https://t.co/A6Fynco0Ya pic.twitter.com/kkuddAEyXv — Beosin Alert (@BeosinAlert) August 15, 2023
První zprávy od RocketSwapu se objevily už po dvou hodinách od chvíle, kdy si vývojáři projektu všimli problémů. Nastínili uživatelům další postup a po dalších 8 hodinách oznámili, že byl problém vyřešen a zamezili další krádeži. Projekt ale nadále funguje a kupodivu ani nezaznamenal příliš velký odliv uživatelů. Za posledních 24 hodin se kapitál projektu (Total Value Locked) snížil pouze o 25 %, což ukazuje na velkou odolnost uživatelů RocketSwapu. Podle serveru DefiLlama se aktuální hodnota TVL pohybuje okolo 2,48 milionů dolarů. Opět se jedná o krádež privátních klíčů přes to, že jejich bezpečné uložení by měl být nejzásadnějším bezpečnostním opatřením. V ideálním případě by služby měly ukládat soukromé klíče uživatelů offline, aby nebyly přístupné případným útočníkům. Společnost RocketSwap ale měla soukromé klíče uživatelů uložené na serveru, což samozřejmě vedlo k jejich odcizení.
Nejedná se přitom o první problém projektu RocketSwap. Už 8. srpna sdílel jeden z uživatelů snímek obrazovky s odstraněným příspěvkem projektu RocketSwap. V příspěvku se vývojáři přiznali, že se nechali oklamat a převedli nativní tokeny RCKT v hodnotě 69 000 dolarů podvodníkům. Podvodníci se vydávali za členy týmu KuCoin a tvrdili, že chtějí tokeny RCKT uvést na burzu. Vývojáři RocketSwapu jim poslali tokeny v domnění, že pomáhají vytvořit likviditu na burze KuKoin. Někteří uživatelé jsou ale přesvědčení, že se jedná pouze o výmluvu a ve skutečnosti si všechny tyto tokeny nechali vývojáři pro své vlastní obohacení. Vzhledem k těmto dvěma incidentům, které se odehrály v krátkém časovém období, má pochopitelně komunita obavy, aby se nakonec nejednalo o rug pull. Na grafu TVL v RocketSwapu ale není vidět negativní sentiment, ani výrazný odliv kapitálu.
RocketSwap je zřejmě prvním protokolem na Base, který byl napaden hackery. Platforma má ale daleko větší problémy s rug pully, kterých se objevilo hned několik. Ten největší se odehrál 1. srpna v době, kdy byl celý protokol ještě v testovací fázi a nebyl veřejně dostupný tak, jako je tomu teď. Projekt LeetSwap přišel v tento den o 340 etherů kvůli chybě ve smart kontraktu. Útočníci ve stejnou chvíli vydali vlastní meme token BALD a později vybrali veškerou likviditu tokenu, čímž provedli rug pull v hodnotě více než 23 milionů dolarů. Bohužel ani novinka do Coinbase nezůstala ušetřena útoků hackerů, kteří jsou v kryptoměnách stále aktivnější a provádí stále sofistikovanější útoky. Vždy tedy pamatujte, že peníze uložené v podobných protokolech nejsou vaše ani v případě, že vlastníte privátní klíče. Ty totiž mohou být kompromitovány tak, jako v případě RocketSwapu a o své peníze můžete kdykoliv přijít. Nejbezpečnější místo pro vaše kryptoměny je česká hardwarová peněženka Trezor.
Hrozně rád čtu a ještě raději píšu - o kryptoměnách, nových technologiích a knihách. Autora můžete podpořit prostřednictvím Lightning Network zde: petrik@lnbc.cz NOSTR:npub1ntvcjwhawvyxz8cyjywthdcnskvfdsum33f6x0vemvsu3njxaumqtn2uq5
Víc o autorovi
