KyberSwap, exchange decentralizzato, ha offerto una ricompensa del 10% all'hacker che ha rubato 46 milioni di dollari il 22 Novembre e ha lasciato una nota di negoziazione. L'exchange vuole che il 90% del bottino venga restituito entro le ore 6:00 UTC del 25 Novembre.
Il 23 Novembre KyberSwap ha avvisato gli utenti che la sua piattaforma di liquidità, KyberSwap Elastic, era stata compromessa e ha consigliato loro di ritirare i fondi. Nel frattempo, il 22 Novembre, l'hacker ha portato via circa 20 milioni di dollari in Wrapped Ether (wETH), 7 milioni di dollari in Wrapped Lido-staked Ether (wstETH) e 4 milioni di dollari in token Arbitrum (ARB). L'hacker ha poi dirottato il bottino su diverse chain, tra cui Arbitrum, Optimism, Ethereum, Polygon e Base.

Dopo aver nascosto i fondi rubati, l'hacker ha scritto un messaggio on-chain diretto agli sviluppatori di KyberSwap, ai dipendenti, ai membri dell'organizzazione autonoma decentralizzata e ai fornitori di liquidità, affermando: "Le trattative inizieranno tra poche ore, quando sarò completamente riposato".

Dopo un giorno di silenzio da entrambe le parti, KyberSwap ha risposto all'hacker chiedendo la restituzione del 90% dei fondi rubati. Il team ha riconosciuto le capacità dell'hacker e ha presentato un'offerta:
"Sul tavolo c'è una ricompensa equivalente al 10% dei fondi degli utenti sottratti dal tuo attacco, in cambio della restituzione sicura di tutti i fondi degli utenti. Ma sappiamo entrambi come funziona, quindi andiamo al sodo, in modo che tu e questi utenti possiate andare avanti con la vita".
Se l'hacker non paga o non risponde a KyberSwap entro le 6 del mattino UTC del 25 Novembre, "rimarrà in fuga", ha dichiarato KyberSwap. Il team è aperto a ulteriori discussioni con l'hacker via e-mail.
Un esperto di finanza decentralizzata (DeFi) ha analizzato il recente attacco a KyberSwap, suggerendo che l'aggressore ha usato un "infinite money glitch" per prosciugare i fondi.
Il fondatore di Ambient Exchange, Doug Colkitt, ha spiegato che l'aggressore di KyberSwap ha eseguito l'attacco basandosi su uno "smart contract exploit complesso e accuratamente ingegnerizzato".
Condividiamo un tweet su X di — Doug Colkitt (@0xdoug) November 23, 2023
1/ Ho terminato un'immersione preliminare nell'exploit di Kyber e credo di avere una buona comprensione di ciò che è successo.
Questo è senza dubbio l'exploit di smart contract più complesso e attentamente progettato che abbia mai visto...
1/ Finished a preliminary deep dive into the Kyber exploit, and think I now have a pretty good understanding of what happened.
— Doug Colkitt (@0xdoug) November 23, 2023
This is easily the most complex and carefully engineered smart contract exploit I've ever seen...
L'aggressore ha poi ripetuto l'exploit su altre pool di Kyberswap su più reti, riuscendo alla fine a portare via un bottino da 46 milioni di dollari in crypto.