DeFi Exchange KyberSwap lider av $265,000 XNUMX Frontend-utnyttelse

Etter Curve Finance utnytte forrige måned, den desentraliserte børsen (DEX) KyberSwap slutter seg til listen over DeFi-prosjekter for å bli utsatt for en front-end-utnyttelse.

På fredag, Kyber Network, likviditetsprotokollen som KyberSwap er bygget på, bekreftet rapporterer, og legger til at angrepet på nettstedet raskt ble identifisert og fikset i løpet av få timer.

"Klokken 3.24 GMT+7 identifiserte vi et mistenkelig element på grensesnittet vårt," Kyber Network twitret. "Når vi stengte grensesnittet vårt for å utføre undersøkelser, identifiserte vi en ondsinnet kode i Google Tag Manager (GTM) og deaktiverte den umiddelbart."

Per selskapets kunngjøring, klarte tyvene å kompromittere appens grensesnitt gjennom Google Tag Manager (GTM)-skriptet. 

GTM-skript brukes ofte av nettsteder for å spore brukeraktivitet og data for analytiske formål.

Ved å bruke det injiserte ondsinnede skriptet via GTM, fikk hackerne brukerne til å godkjenne pengene sine og sendte dem til hackerens adresse.

"Dette er første gang et hack skjedde med oss ​​etter fem år, dessverre, men teamet vårt håndterte denne hendelsen eksepsjonelt bra," twitret Loi Luu, Kybers medgründer. "I løpet av noen få timer etter at hacket ble oppdaget, identifiserte vi den skadelige koden (lastet på farten via en anerkjent tredjeparts js lib), fjernet den."

Før reparasjonen var imidlertid hackeren i stand til å flytte $265,000 XNUMX verdt av Aave Matic rentebærende USDC (AMUSDC) tokens i fire transaksjoner. 

Aave finnes på Ethereum så vel som flere andre blokkkjeder, inkludert Polygon. Ovennevnte token representerer en avsatt USDC stablecoin på Aaves Polygon-integrasjon. Hver gang et symbol som dette settes inn på utlånsplattformen, mottar brukerne den rentebærende versjonen for å representere innskuddet deres. 

Det er denne interessebærende versjonen hackerne fanget i fredagens utnyttelse.

Kyber Network advarte alle brukerne deres til å dobbeltsjekke godkjenningene deres ved å bruke godkjenningsverktøy levert av blokkutforskeren, polygonscan.

DeFi-prosjektets smarte kontrakter fremstår som upåvirket.

40,000 XNUMX dollar i dusør for KyberSwap-utnyttere

Kyber Network har tilbudt en dusør på 15 % verdt $40,000 XNUMX til hackerne hvis de returnerer de stjålne midlene. De resterende midlene bes overført til a lommebokadresse levert av selskapet.

Når dette skrives er ingen midler tilbakeført. 

Dette er ikke første gang kryptoindustrien står overfor et hack, og det vil heller ikke være den siste. To av de største hackingene noensinne skjedde i år, først til et Ethereum-til-Solana-bronettverk i januar og deretter igjen til Axie Infinitys kryptobro kalt Ronin i mars. 

Totalt utgjorde disse to hackene alene $878 millioner i tap for brukere på den tiden.