Взлом произошел 11 декабря, и, по словам Хью Карпа, он не устанавливал никаких вредоносных программ. В этот день он составлял электронное письмо и заметил, что экран компьютера несколько раз моргнул, однако он не обратил на это внимания. Как оказалось впоследствии, мигание экрана было признаком того, что злоумышленник получил удаленный доступ к компьютеру.
Спустя некоторое время злоумышленник удалил расширение MetaMask с компьютера Хью Карпа и заменил его на вредоносную версию программы. Как уже сообщалось ранее, 14 декабря основатель Nexus Mutual попытался осуществить транзакцию со своего аппаратного кошелька Ledger при помощи MetaMask. Он отметил:
«Транзакция выглядела нормально – вредоносная версия кошелька подменила выводимую информацию, поэтому я спокойно подтвердил ее. На кошельке Ledger также появилась информация о транзакции, и вот тут я не стал проверять адреса, а токены NXM нативно не поддерживаются Ledger. Поэтому я подтвердил ее и тут. И в блокчейн ушла вредоносная транзакция. Потом я увидел подтверждение MetaMask об успешном завершении транзакции, но приложение Nexus Mutual ее не получило. Тогда через Etherscan я нашел транзакцию и понял, что произошло».
Хью Карп признает, что если бы он внимательно проверил детали транзакции на кошельке Ledger, то кражи можно было избежать. Он отметил, что взлом был направлен именно на него. Кроме того, хакер украл не все доступные токены NXM, а значит транзакция была подготовлена заранее.
Хотя в расследовании инцидента Хью Карпу помогают специалисты «Лаборатории Касперского», пока все еще неизвестно, с помощью какой именно уязвимости хакеры получили доступ к компьютеру жертвы. Также основатель платформы подчеркивает, что пользователям необходимо с максимальной осторожностью использовать MetaMask, и максимально разделять средства на кошельках.
Напомним, что 16 декабря хакер продал 35% из украденных у Хью Карпа токенов. Похищенные NXM были переведены в ETH и токены renBTC.
