Ночью 9 января примерно в 02:05 в централизованном кошельке xRocket произошло неприятное событие. Вводы которые были сделаны в xRocket удваивались. Любой, кто делал ввод на кошелек, получал на счет тот же самый токен, только два раза. А выводы работали в штатном режиме.
Так, злоумышленник начал со 100 TON и увидел, что на балансе оказалось 200. Он вывел 200, и завел снова, оказалось 400 TON. Затем он повторил, завел - вывел и уже 600 TON.
Он подумал, а что если делать это не с TON, а с ARBUZ и завел 1,500 арбузов. И вауля, они тоже умножились на два. По итогу вывели 3000, потом 6000… Параллельно выводя TON, в количестве уже 4,600 TON.
Уже через 45 минут, у злоумышленника были 48К арбузов и 62К TON. Если учесть что 1 арбуз = 1 TON, это получается чуть больше $250,000. Злоумышленник продал арбузы в стакан на бирже xRocket, а затем также продал их и на DeDust.io, тем самым устроил скидки до $1.8 за арбуз.
Благодаря слаженной работе комьюнити xRocket, нашли номер СЕО и он среди ночи выключил выводы, а позже и выключил сам бот, чтобы разобрать все балансы и восстановить работоспособность.
Злоумышленник вернул 47,5K арбузов и 50K TON на счет xRocket, оставив себе награду в 12K TON, которую он вложил в различные токены сети TON.
Помимо злоумышленника, было еще несколько человек, кто воспользовался данной ошибкой пополнения и также был задет лишь токен ARBUZ. Выглядит как нападение на ARBUZ, ведь по текущему курсу, на xRocket лежит арбузов на $5,6М.
xRocket посмотрел операции пользователей, восстановил недостающие балансы, закрыл ошибку и возобновил работу.
Вот так за ночь можно было заработать неплохую сумму и обвалить рынок. Благо, люди нормальные и не стали этого делать, вернув средства на место.
xRocket надежный кошелек, но ошибки случаются у всех. Разработчики планируют отработать инцидент и в ближайшее время разработать функционал безопасного хранения токенов.
Подписывайтесь на Telegram канал и страницу во ВКонтакте! Свои комментарии, замечания и предложения пишите мне. Все контакты на странице обо мне.