Крипто-игровая платформа Vulcan Forged лишилась 96 приватных ключей, которые позволили хакеру вывести 140 миллионов долларов в криптовалютах.
Vulcan Forged имеет шесть блокчейн-игр, платформу для торговли NFT-токенами и децентрализованную биржу. Когда пользователь регистрирует аккаунт в Vulcan Forged, платформа автоматически создает набор кошельков на блокчейнах Ethereum, Polygon и VeChain. Но вместо того, чтобы передать ключи пользователю для самостоятельного хранения, платформа оставляет ключи себе и управляет ими от имени пользователя.
Для создания и управления кошельками, используется сервис Venly (ранее известный как Arkane Network). Им также пользуются компании Atari, Matic и Blockchain Game Alliance.
Подробности атаки пока не известны, но злоумышленнику как-то удалось получить часть приватных ключей из платформы.
После обнаружения атаки, Vulcan Forged посоветовала сообществу удалить средства из децентрализованных бирж. Это должно было затруднить хакеру обналичивание средств. Но злоумышленник все равно успел конвертировать значительные суммы нативных токенов PYR в ETH, продавая небольшие партии за раз. На момент написания у него осталось лишь 2 млн PYR (~$47 млн).
Разработчики сразу начали возмещение средств пострадавшим и на момент написания из казначейства проекта покрыли более половины ущерба. После этого Vulcan Forged изменит систему управления приватными ключами, чтобы пользователи самостоятельно за ними следили.
Update: The majority of PYR has been refunded to affected wallets from the VF treasury.
We have isolated the tokens stolen from all CEX exchanges. We are working to identify footprints.
A 100% decentralized solution was perhaps the ray of light in this.
All dev carries on.
— Vulcan Forged (@VulcanForged) December 13, 2021