Bitcoin 
Ethereum 
Tether 
USDC 
TRON 
Dogecoin 
LEO Token 
Zcash 
Stellar 
Monero 
Chainlink 
Cardano 
Dai 
Bitcoin Cash 
Hedera 
Litecoin 
Cronos 
OKB 
Ethereum Classic 
KuCoin 
Cosmos Hub 
Algorand 
TrueUSD 
Dash 
VeChain 
Tezos 
Decred 
IOTA 
NEO 
Basic Attention 
Qtum 
0x Protocol 
Ravencoin 
Ontology 
Pax Dollar 
ICON 
Waves 
Lisk 
Bitcoin Diamond 
Huobi 
Эксперты SlowMist оценили атаку на Typus Finance: уязвимость в Move стоила проекту $3,44 млн
DeFi-проект Typus Finance, работающий на блокчейне Sui, подвергся хакерской атаке несколько дней назад. Она привела к краже криптоактивов на сумму около $3,44 млн. Команда проекта выпустила официальный отчет, поблагодарив компанию SlowMist за помощь в расследовании и отслеживании движения похищенных средств. Согласно результатам анализа, корень проблемы лежал в уязвимости системы проверки разрешений, позволившей злоумышленнику манипулировать ценами оракулов.
По данным аналитической платформы MistTrack, в результате атаки было украдено 588,35 тыс. SUI, 1,6 млн USDC, 0,6 xBTC и 32,22 тыс. suiETH. Хакер конвертировал большую часть токенов в USDC через протоколы Cetus, Haedal Protocol и Turbos, а затем перевел около $3,43 млн на Ethereum-адрес с помощью моста Circle CCTP. Далее цифровые средства были обменены на 3,43 млн DAI и перемещены на новый адрес через Curve, где они и остаются по сей день.
Дальнейшее отслеживание показало, что изначальные активы хакера поступили с адреса, ранее связанного с Tornado Cash в сети BSC. Часть средств была обменена и «переброшена» в Ethereum, после чего участвовала в сложной цепочке переводов через Mayan Finance и другие мосты. Эксперты SlowMist сумели проследить все транзакции и выявить взаимосвязанные кошельки, что помогло зафиксировать весь маршрут от взлома до конечных адресов.
Аналитики классифицировали инцидент как типичную атаку на оракулы цен, при которой злоумышленник воспользовался возможностью доступа к общему объекту и уязвимостью в механизме валидации белого списка. Это позволило произвольно изменять данные о ценах и получать прибыль за счет искусственно созданного арбитража. Разработчикам проекта предложено простое, но эффективное решение — добавить проверку assert! в критических функциях контракта.
В своем отчете эксперты SlowMist отметили, что язык Move предоставляет надежную базу для контроля разрешений через модель владения объектами и систему способностей, однако даже продвинутая архитектура не может компенсировать недостатки человеческого фактора. Ошибка проверки прав в Typus Finance стала примером того, как отсутствие строгих тестов и аудита может привести к дорогостоящим последствиям.
