Хакер воспользовался уязвимостью в программном коде на языке Solidity, сообщили аналитики компании Blockaid. Технически атака стала возможной из‑за ошибки в логике проверки сообщений: злоумышленник отправил поддельный запрос на повтор транзакции, который мост распознал как действительный. В результате смарт‑контракт выпустил на адрес хакера около квадриллиона токенов MAPO — примерно в 4,8 млн раз больше всего легального рыночного предложения. Ключи проекта не были скомпрометированы, уточнили специалисты Blockaid.
За несколько часов после атаки цена нативного токена MAPO обвалилась на 96%, до $0,00009. Позже котировки частично восстановились до $0,002 — итоговое суточное падение составило более 30%, показали CoinMarketCap и CoinGecko.
Злоумышленник успел продать около 1 млрд MAPO через пулы ликвидности Uniswap, выручив 52 эфира стоимостью $110 000. По оценке Blockaid, на кошельке взломщика остается почти триллион MAPO — это создает угрозу ликвидности на других биржах, убеждены блокчейн-специалисты.
Команда MAP остановила основную сеть и сервис конвертации токенов MAPO. Судя по информации на CoinGecko, разработчики провели миграцию на новый смарт-контракт. Команда пообещала сделать копию балансов пользователей для корректного распределения новых активов и аннулировать токены на адресах хакера. Пользователям рекомендуют не обменивать MAPO на Uniswap и игнорировать любые сообщения от имени службы поддержки.
На днях специализирующаяся на торговле приватной криптовалютой Monero (XMR) анонимная p2p-биржа RetoSwap подверглась взлому. Злоумышленники похитили 7000 XMR стоимостью около $2,7 млн.
