Взломщик Transit Swap отправил активы в Tornado Cash

Взломавший децентрализованную кроссчейн-биржу Transit Swap хакер перевел часть украденных средств в миксер Tornado Cash и вступил в переписку с командой проекта.

#PeckShieldAlert 0x75f2aba…d46 (TransitSwap Exploiter) leaves a message to TransitFinance Funds Receiver 0xD989f7B4…a35E and starts to transfer part of stolen funds to Mixerhttps://t.co/o2h9suSXFI pic.twitter.com/CrX55l2Mo9

— PeckShieldAlert (@PeckShieldAlert) October 3, 2022

2 октября неизвестный вывел из Transit Swap активы примерно на $21 млн. Позднее команда биржи сообщила, что хакер вернул 70% украденных средств и предложила ему выйти на связь.

3 октября злоумышленник возместил платформе еще 2612 BNB (~$750 000) и отправил сообщение подписью к транзакции. При этом он совершил 40 переводов по 100 BNB в Tornado Cash.

#PeckShieldAlert 0x75f2aba…d46 (TransitSwap Exploiter) has transferred ~2,612 $BNB (~$750k) to TransitFinance Funds Receiver 0xD989f7B4…a35E pic.twitter.com/6N9h4STegx

— PeckShieldAlert (@PeckShieldAlert) October 3, 2022

Он выразил сомнения в искренности предложений разработчиков Transit Swap и заявил, что должен получить большую награду, сославшись на инциденты с Nomad и Wintermute. По его словам, он взломал только сети Ethereum и BNB Chain. В случае атаки на другие цепочки вроде Fantom, Tron, Polygon добыча достигнет $100 млн, уверен хакер.

«Трудно не заподозрить, что это ваш официальный бэкдор, и вы должны быть счастливы, что эксплойт реализовал я, а не кто-либо другой», — прокомментировал он использованную уязвимость в коде.

Разработчики опровергли его слова, заверив, что баг не был преднамеренным. Они отметили, что украденные средства принадлежат пользователям и выразили надежду на их возвращение. Команда Transit Swap также заявила о готовности увеличить награду.

Данные: BscScan.

Хакер ответил, что потратил много времени на аудит кода проекта и успешно использовал уязвимость. Он также заявил о готовности вести диалог на принципах вознаграждения за обнаруженный баг.

«Мы ценим ваш ответ и возмещение, считаем ваши действия тестированием, а не атакой. Все эти средства принадлежат пользователям, мы надеемся, что вы продолжите возврат и искренне приглашаем начать дружественное общение о баг-баунти прямо сейчас, спасибо!», — написали разработчики.

Напомним, в мае команда проекта Wormhole выплатила $10 млн белому хакеру, обнаружившему критическую уязвимость в протоколе.