KyberSwap, exchange decentralizzato, ha offerto una ricompensa del 10% all'hacker che ha rubato 46 milioni di dollari il 22 Novembre e ha lasciato una nota di negoziazione. L'exchange vuole che il 90% del bottino venga restituito entro le ore 6:00 UTC del 25 Novembre.

Il 23 Novembre KyberSwap ha avvisato gli utenti che la sua piattaforma di liquidità, KyberSwap Elastic, era stata compromessa e ha consigliato loro di ritirare i fondi. Nel frattempo, il 22 Novembre, l'hacker ha portato via circa 20 milioni di dollari in Wrapped Ether (wETH), 7 milioni di dollari in Wrapped Lido-staked Ether (wstETH) e 4 milioni di dollari in token Arbitrum (ARB). L'hacker ha poi dirottato il bottino su diverse chain, tra cui Arbitrum, Optimism, Ethereum, Polygon e Base.

L'hacker di KyberSwap ha condiviso la sua disponibilità a negoziare un accordo. Fonte: etherscan.io

Dopo aver nascosto i fondi rubati, l'hacker ha scritto un messaggio on-chain diretto agli sviluppatori di KyberSwap, ai dipendenti, ai membri dell'organizzazione autonoma decentralizzata e ai fornitori di liquidità, affermando: "Le trattative inizieranno tra poche ore, quando sarò completamente riposato".

Il team di KyberSwap ha risposto all'hacker e ha offerto una ricompensa del 10%. Fonte: etherscan.io

Dopo un giorno di silenzio da entrambe le parti, KyberSwap ha risposto all'hacker chiedendo la restituzione del 90% dei fondi rubati. Il team ha riconosciuto le capacità dell'hacker e ha presentato un'offerta:

"Sul tavolo c'è una ricompensa equivalente al 10% dei fondi degli utenti sottratti dal tuo attacco, in cambio della restituzione sicura di tutti i fondi degli utenti. Ma sappiamo entrambi come funziona, quindi andiamo al sodo, in modo che tu e questi utenti possiate andare avanti con la vita".

Se l'hacker non paga o non risponde a KyberSwap entro le 6 del mattino UTC del 25 Novembre, "rimarrà in fuga", ha dichiarato KyberSwap. Il team è aperto a ulteriori discussioni con l'hacker via e-mail.

Un esperto di finanza decentralizzata (DeFi) ha analizzato il recente attacco a KyberSwap, suggerendo che l'aggressore ha usato un "infinite money glitch" per prosciugare i fondi.

Il fondatore di Ambient Exchange, Doug Colkitt, ha spiegato che l'aggressore di KyberSwap ha eseguito l'attacco basandosi su uno "smart contract exploit complesso e accuratamente ingegnerizzato".

Condividiamo un tweet su X di — Doug Colkitt (@0xdoug) November 23, 2023

1/ Ho terminato un'immersione preliminare nell'exploit di Kyber e credo di avere una buona comprensione di ciò che è successo.

Questo è senza dubbio l'exploit di smart contract più complesso e attentamente progettato che abbia mai visto...

L'aggressore ha poi ripetuto l'exploit su altre pool di Kyberswap su più reti, riuscendo alla fine a portare via un bottino da 46 milioni di dollari in crypto.