Mae'r cymhwysiad datganoledig FixedFloat yn dioddef hac $26 miliwn

Ychydig ddyddiau yn ôl, dioddefodd y cais datganoledig di-KYC FixedFloat ymosodiad darnia ar ei seilwaith, gan arwain at golledion o 26 miliwn o ddoleri.

Yn ôl y cwmni archwilio a dadansoddi blockchain PeckShield, cafodd cyfanswm o 1728 ETH a 409 BTC eu dwyn: yna cafodd rhywfaint o'r arian ei wyngalchu trwy basio trwy gymysgwyr datganoledig a thrafodion coinjoin.

Mae FixedFloat wedi datgan bod cronfeydd defnyddwyr yn ddiogel ac nad oedd y darnia yn peryglu sefydlogrwydd ariannol y cais cyfnewid crypto.

Yr holl fanylion isod.

Bregusrwydd yn strwythur FixedFloat: mae'r cymhwysiad datganoledig yn dioddef hac $26 miliwn yn BTC ac ETH

Ddydd Sadwrn, Chwefror 17eg, roedd y cais cyfnewid arian cyfred digidol datganoledig FixedFloat yn ddioddefwr hac a achosodd colledion o 26 miliwn o ddoleri yn BTC ac ETH.

Dechreuodd y cyfan pan ddywedodd nifer o ddefnyddwyr eu bod wedi profi trafodion wedi'u rhewi a bod arian ar goll yn eu cyfrifon; yn fuan wedyn, darganfuwyd hynny trwy ddadansoddiad ar gadwyn roedd sawl miliwn o ddoleri wedi'u draenio i wahanol waledi allanol anhysbys.

Er nad yw’n glir eto sut y digwyddodd yr ymosodiad, esboniodd tîm FixedFloat yn brydlon ei fod yn “mater technegol bach” adeg y digwyddiad.

Mae'r un peth wedi cyhoeddi y bydd yr arian yn cael ei ad-dalu i ddefnyddwyr y platfform ac nad oedd yr hac yn peryglu sefydlogrwydd ariannol y cwmni.

Beth bynnag, ar adeg ysgrifennu'r erthygl mae'r cymhwysiad datganoledig yn parhau i fod yn anactif ac yn y modd cynnal a chadw, ond bydd yn cael ei ailagor mewn dyfodol amhenodol, cyn gynted ag y bydd yn sicr o fod yn ddiogel i'w ddefnyddio.

Dyma'r hyn a adroddwyd ar X gan Fixed FixedFloat yn dilyn yr hac:

Mae'r gyfnewidfa ddatganoledig yn adnabyddus am ei gwasanaethau nad ydynt yn KYC, nad oes angen cofrestru arnynt o dan y weithdrefn “Adnabod Eich Cwsmer” glasurol, gan ganiatáu mantais gystadleuol o ran preifatrwydd.

Trwy gynnig y posibilrwydd o aros yn ddienw a chaniatáu trafodion yn Bitcoin trwy Lightning Network i'w gwsmeriaid, mae FixedFloat wedi denu ystod eang o ddefnyddwyr o'r Unol Daleithiau.

Yn rhannol, roedd nodwedd anhysbysrwydd a diffyg rheolaethau mewnol yn ffafrio'r ymosodiad haciwr maleisus, nad oedd yn rhaid iddo ddarparu eu data personol i gael mynediad i'r cais.

Yn ôl y cwmni dadansoddi cybersecurity a blockchain PeckShield, mae'r lladrad yn cyfateb i union 1728 ETH, gwerth 4.85 miliwn o ddoleri, a 409 BTC, sy'n werth bron i 21 miliwn o ddoleri.

Mae'r rhan fwyaf o'r ether o'r darnia eisoes wedi'i drosglwyddo i ystod eang o gyfnewidfeydd datganoledig ar y blockchain Ethereum.

Mae FixedFloat wedi adrodd eu bod yn gweithio gyda gorfodi'r gyfraith, cwmnïau fforensig blockchain, a chyfnewidfeydd cryptocurrency i ddod o hyd i'r hacwyr, nad ydynt wedi cysylltu â'r gyfnewidfa eto. 

Mae'r cwmni wedi datgan y bydd yn anrhydeddu ei holl rwymedigaethau talu cyn gynted ag y bydd yn ailddechrau gweithrediadau ac yn sicr y bydd y cyfnewid yn ddiogel i'w ddefnyddio eto.

Cafodd rhan o'r BTC a gafodd ei ddwyn o'r darn arian ei ailgylchu trwy ymgyrch cydjoin

Er bod yr ETH a ddwynwyd o darnia'r cymhwysiad datganoledig FixedFloat wedi'u symud yn hawdd i ddwsinau o wahanol gyfeiriadau a'u dosbarthu trwy'r blockchain Ethereum, mae'r BTC sy'n rhan o'r un loot ar fin cael eu hailgylchu gyda thrafodion coinjoin.

Rydym yn eich atgoffa bod coinjoin yn fath o weithrediad Bitcoin, wedi'i ddamcaniaethu am y tro cyntaf gan Gregory Maxwell yn 2013, lle mae nifer o daliadau BTC yn cael eu cyfuno mewn un trafodiad, gan ei gwneud yn anodd pennu pa gyfeiriadau sydd wedi gwario pa swm.

Yn debyg i'r hyn sy'n digwydd gyda chymysgwyr datganoledig fel Tornado Cash, mae trafodion cydjoin yn cael eu cyfuno i wneud un trafodiad mewn cronfa ar y cyd, y gall adneuwyr wedyn ofyn yn ôl am eu cronfeydd “cyfun” a dienw.

Yn ein hachos ni, manteisiodd yr haciwr ar fath o gymysgydd sy'n defnyddio dull i gynyddu preifatrwydd tebyg i coinjoin, lle mae sawl BTC eisoes wedi'u cyfnewid.

Yn benodol, gallwn gadarnhau bod yn ôl yr hyn a eglurwyd gan we3 ymchwilydd ar X, yn rhan o'r cronfeydd dwyn, i fod yn fanwl gywir 2.7544 BTC, wedi llifo i mewn i'r cyfeiriad

34F2Jjmzo4N3kz3zVVBbqr3nn6NkvQvNjA, sy'n perthyn i'r CEX TradeOgre.

Gallai'r arian hwn gynrychioli'r comisiwn a dalwyd gan yr actor maleisus i ddefnyddio'r cymysgydd, sy'n ymddangos i'w gysylltu â chymhwysiad Whirpool sy'n gweithredu system breifatrwydd uwch.

Credir bod 166 allan o'r 409 BTC a gafodd ei ddwyn o'r cais datganoledig FixedFloat eisoes wedi pasio trwy'r cymysgydd Whirpool.

Mae digwyddiadau fel hyn yn gyffredin mewn amgylcheddau cryptograffig, yn enwedig mewn rhai nad ydynt yn KYC sydd rywsut yn amddiffyn anhysbysrwydd hacwyr.

Yn ôl y cwmni ymchwil fforensig cadwyn Chainalysis, er gwaethaf y digwyddiadau niferus a gofnodwyd yn 2023 mae haciau a gorchestion yn gostwng o gymharu â'r flwyddyn flaenorol, pan oedd ffyniant mewn lladradau.

Yn gyffredinol, mae gwerth arian wedi'i hacio wedi gostwng tua 54.3% o'i gymharu â 2022 gyda chyfanswm dwyn o tua 1.7 biliwn o ddoleri, yn deillio'n bennaf o haciau ceisiadau DeFi.