9 марта децентрализованный финансовый сервис Fantasm Finance стал жертвой хакера, которому удалось украсть 1007 монет ethereum (ETH) стоимостью $2,6 млн по текущему курсу.
Злоумышленник воспользовался багом в смарт-контракте Fantasm Mint, выпустил большое количество токенов Fantasm XFTM (XFTM), обменял их на ETH и отправил цифровые активы на свой кошелёк. Затем преступник перевёл Ethereum в миксер TornadoCash, чтобы отмыть похищенную виртуальную валюту.
Fantasm Finance, представляя «Дробно-алгоритмический синтетический токен» привязан к 1 fantom [FTM] на Fantom Опера увидела, как хакер воспользовался залоговым резервом FTM. Позже хакер забрал более 1000 ETH — примерно 2 620 546,31 долларов США на момент публикации — и переместил их в Tornado. Cashмикшер, усложняющий отслеживание происхождения криптоактивов.
#PeckShieldAlert 1,007 ETH into @TornadoCash from @fantasm_finance attacker. https://t.co/DPloeV6Mff pic.twitter.com/c3SEHJvV90
— PeckShieldAlert (@PeckShieldAlert) March 10, 2022
Сотрудники Fantasm Finance попросили всех пользователей забрать заблокированные XFTM, а также перевести токены из пула ликвидности во избежание потери монет. 10 марта специалисты обещают опубликовать отчёт об инциденте и компенсировать убытки жертвам атаки.
По данным экспертов по кибербезопасности, несколько людей последовали примеру неизвестного хакера и воспользовались уязвимостью смарт-контракта Fantasm Mint. Они вывели из пула подавляющую массу оставшихся цифровых активов. Точный размер ущерба пока не называется, но он, безусловно, превысит первоначальную сумму $2,6 млн.