Bitcoin 
Ethereum 
Tether 
USDC 
TRON 
Dogecoin 
Cardano 
Bitcoin Cash 
Chainlink 
LEO Token 
Stellar 
Monero 
Zcash 
Litecoin 
Hedera 
Dai 
Cronos 
OKB 
Ethereum Classic 
KuCoin 
Algorand 
Cosmos Hub 
VeChain 
Dash 
Tezos 
TrueUSD 
IOTA 
Basic Attention 
Decred 
NEO 
Qtum 
Ravencoin 
0x Protocol 
EOS 
Waves 
ICON 
Ontology 
Pax Dollar 
Lisk 
Huobi 
NEM 
Augur 
Bitcoin Diamond 
Bitcoin Gold 
Эксперты SlowMist оценили атаку на Typus Finance: уязвимость в Move стоила проекту $3,44 млн
DeFi-проект Typus Finance, работающий на блокчейне Sui, подвергся хакерской атаке несколько дней назад. Она привела к краже криптоактивов на сумму около $3,44 млн. Команда проекта выпустила официальный отчет, поблагодарив компанию SlowMist за помощь в расследовании и отслеживании движения похищенных средств. Согласно результатам анализа, корень проблемы лежал в уязвимости системы проверки разрешений, позволившей злоумышленнику манипулировать ценами оракулов.
По данным аналитической платформы MistTrack, в результате атаки было украдено 588,35 тыс. SUI, 1,6 млн USDC, 0,6 xBTC и 32,22 тыс. suiETH. Хакер конвертировал большую часть токенов в USDC через протоколы Cetus, Haedal Protocol и Turbos, а затем перевел около $3,43 млн на Ethereum-адрес с помощью моста Circle CCTP. Далее цифровые средства были обменены на 3,43 млн DAI и перемещены на новый адрес через Curve, где они и остаются по сей день.
Дальнейшее отслеживание показало, что изначальные активы хакера поступили с адреса, ранее связанного с Tornado Cash в сети BSC. Часть средств была обменена и «переброшена» в Ethereum, после чего участвовала в сложной цепочке переводов через Mayan Finance и другие мосты. Эксперты SlowMist сумели проследить все транзакции и выявить взаимосвязанные кошельки, что помогло зафиксировать весь маршрут от взлома до конечных адресов.
Аналитики классифицировали инцидент как типичную атаку на оракулы цен, при которой злоумышленник воспользовался возможностью доступа к общему объекту и уязвимостью в механизме валидации белого списка. Это позволило произвольно изменять данные о ценах и получать прибыль за счет искусственно созданного арбитража. Разработчикам проекта предложено простое, но эффективное решение — добавить проверку assert! в критических функциях контракта.
В своем отчете эксперты SlowMist отметили, что язык Move предоставляет надежную базу для контроля разрешений через модель владения объектами и систему способностей, однако даже продвинутая архитектура не может компенсировать недостатки человеческого фактора. Ошибка проверки прав в Typus Finance стала примером того, как отсутствие строгих тестов и аудита может привести к дорогостоящим последствиям.
