Контракт Fusion подвергся хакерской атаке, 267 000 долларов были переведены в Tornado Cash, безопасность DeFi снова вызывает тревогу

По последним данным, CertiK Alert обнаружила 7 января серьезную уязвимость безопасности в контракте Fusion PlasmaVault. Хакер во время операции вывода средств перевел все средства (около 267 000 долларов США) на адрес EOA 0x9b1b через настроенный контракт “fuse”, затем осуществил кросс-чейн транзакцию на Ethereum и внес средства в миксер Tornado Cash. Это событие еще раз обнажило риски безопасности протоколов DeFi на этапе конфигурации контрактов.

Детали события: полная цепь от конфигурации к сокрытию

Анализ процесса атаки

Суть этой атаки заключается в использовании временной разницы:

• Хакер инициировал вызов вывода средств в течение нескольких секунд после завершения конфигурации контракта “fuse”
• Использовал логическую уязвимость на этапе конфигурации контракта, обходя обычные механизмы управления средствами
• Перевел все средства одновременно на один адрес EOA 0x9b1b
• Через кросс-чейн мост перевел на Ethereum, затем в Tornado Cash

Ключевым моментом в этом процессе является уязвимость в окне конфигурации. Обычно контракты DeFi на этапе инициализации или конфигурации имеют проблемы с недостаточной проверкой прав доступа. Хакер воспользовался именно этим временным окном для перевода средств.

Почему был выбран Tornado Cash

Поступление средств в миксер Tornado Cash — это не случайность, это отражает четкое намерение хакера:

• Сокрытие источника и назначения средств: Tornado Cash разрывает цепь отслеживания средств в блокчейне через механизм смешивания
• Избежание блокировки средств: После поступления в миксер средства сложно отследить и заморозить
• Подготовка к долгосрочному сокрытию: Это не быстрый обналичивающий, а подготовка к длительному сокрытию

Этот выбор указывает на глубокое понимание хакером экосистемы DeFi и инструментов приватности.

Сигналы более крупного тренда безопасности

Это не изолированный инцидент. Согласно последним данным мониторинга, инциденты безопасности в DeFi происходят часто:

Оба события отражают одну и ту же проблему: контроль прав доступа контрактов DeFi на этапе инициализации и конфигурации остается слабым звеном.

Почему такие уязвимости продолжают существовать

• Спешка с запуском приводит к недостаточной проверке конфигурации
• Команда разработчиков недостаточно рассмотрела граничные условия
• Даже проведенные аудиты сложно охватить все сценарии
• Хакеры все точнее используют временные окна

Уроки для пользователей и проектов

Напоминание для команд проектов

• На этапе конфигурации необходимы механизмы мультиподписи или временной блокировки
• После инициализации должен быть период охлаждения, а не немедленное использование
• Управление правами доступа должно быть многоуровневым, один контракт не должен контролировать все средства

Рекомендации для пользователей

• На начальном этапе запуска новых проектов участвуйте осторожно и ждите некоторое время перед наблюдением
• Следите за предупреждениями в реальном времени от агентств безопасности, таких как CertiK
• Не вводите большие суммы одновременно в один контракт
• Регулярно проверяйте авторизации кошельков и своевременно отзывайте ненужные разрешения

Итоговое резюме

Серьезность события Fusion заключается не только в убытке в 267 000 долларов США, но и в обнаружении системной уязвимости. Полная цепь действий хакера — начиная с использования окна конфигурации, через кросс-чейн передачу и заканчивая поступлением в миксер — показывает, что атаки на DeFi уже имеют отработанную схему.

Это также напоминает всей экосистеме: аудит и мониторинг хоть и важны, но не панацея. Настоящая безопасность требует, чтобы команды проектов учли все нюансы на этапе проектирования, а пользователи должны оставаться бдительными. При привлекательности доходов в DeFi управление рисками всегда остается приоритетом.