Взломщик Transit Swap отправил активы в Tornado Cash

Взломавший децентрализованную кроссчейн-биржу Transit Swap хакер перевел часть украденных средств в миксер Tornado Cash и вступил в переписку с командой проекта. #PeckShieldAlert 0x75f2aba...d46 (TransitSwap Exploiter) leaves a message to TransitFinance Funds Receiver 0xD989f7B4...a35E and starts to transfer part of stolen funds to Mixerhttps://t.co/o2h9suSXFI pic.twitter.com/CrX55l2Mo9— PeckShieldAlert (@PeckShieldAlert) October 3, 2022 2 октября неизвестный вывел из Transit Swap активы примерно на $21 млн. Позднее команда биржи сообщила, что хакер вернул 70% украденных средств и предложила ему выйти на связь. 3 октября злоумышленник возместил платформе еще 2612 BNB (~$750 000) и отправил сообщение подписью к транзакции. При этом он совершил 40 переводов по 100 BNB в Tornado Cash. #PeckShieldAlert 0x75f2aba...d46 (TransitSwap Exploiter) has transferred ~2,612 $BNB (~$750k) to TransitFinance Funds Receiver 0xD989f7B4...a35E pic.twitter.com/6N9h4STegx— PeckShieldAlert (@PeckShieldAlert) October 3, 2022 Он выразил сомнения в искренности предложений разработчиков Transit Swap и заявил, что должен получить большую награду, сославшись на инциденты с Nomad и Wintermute. По его словам, он взломал только сети Ethereum и BNB Chain. В случае атаки на другие цепочки вроде Fantom, Tron, Polygon добыча достигнет $100 млн, уверен хакер. "Трудно не заподозрить, что это ваш официальный бэкдор, и вы должны быть счастливы, что эксплойт реализовал я, а не кто-либо другой", — прокомментировал он использованную уязвимость в коде. Разработчики опровергли его слова, заверив, что баг не был преднамеренным. Они отметили, что украденные средства принадлежат пользователям и выразили надежду на их возвращение. Команда Transit Swap также заявила о готовности увеличить награду. Данные: BscScan. Хакер ответил, что потратил много времени на аудит кода проекта и успешно использовал уязвимость. Он также заявил о готовности вести диалог на принципах вознаграждения за обнаруженный баг. "Мы ценим ваш ответ и возмещение, считаем ваши действия тестированием, а не атакой. Все эти средства принадлежат пользователям, мы надеемся, что вы продолжите возврат и искренне приглашаем начать дружественное общение о баг-баунти прямо сейчас, спасибо!", — написали разработчики. Напомним, в мае команда проекта Wormhole выплатила $10 млн белому хакеру, обнаружившему критическую уязвимость в протоколе.