Атаки хакеров в начале года привели к убыткам в размере 1,5 млн долларов, раскрыт кризис безопасности прокси-контрактов ARB Network

ARB Network в начале этого года столкнулась с серьезным инцидентом безопасности смарт-контрактов. Согласно данным мониторинга компании CyversS, эта атака привела к прямым экономическим потерям в размере 1,5 миллиона долларов США. Инцидент затронул обновляемые контракты двух проектов — USDGambit и TLP, при этом злоумышленники использовали malicious-манипуляции с правами ProxyAdmin, что в конечном итоге привело к краже значительных средств. Этот случай вновь выявил серьезные уязвимости в управлении прокси-контрактами в экосистеме L2.

Точная кража 1,5 миллиона долларов: как хакеры управляют обновляемыми контрактами

Согласно анализу on-chain доказательств, злоумышленники успешно захватили контроль над TransparentUpgradeableProxy, развернув собственный контракт. В частности, адрес хакера «0x763…12661» провел серию операций с этим прокси-контрактом, в результате чего с адреса жертвы «0x67a…e1cb4» было переведено в общей сложности 1,5 миллиона долларов USDT.

Ключевым моментом этой атаки стало захват управления ProxyAdmin — уровня управления, отвечающего за обновление логики реализуемых контрактов. В архитектуре обновляемых контрактов ProxyAdmin обладает полномочиями по обновлению логики, что делает его критически важным элементом системы. Злоумышленники использовали недостатки в управлении правами развертывания, чтобы обойти стандартные ограничения доступа и осуществить несанкционированные переводы средств. После атаки жертвы не заметили происходящего, пока украденные активы не начали перемещаться между различными блокчейнами.

Пути скрытия средств: перемещение с Arbitrum на децентрализованные протоколы анонимизации

После похищения 1,5 миллиона долларов злоумышленники не держали эти средства напрямую, а предприняли серию операций по сокрытию следов. Сначала хакеры быстро перевели USDT через межцепочечный мост на блокчейн Ethereum, затем отправили деньги в Tornado Cash — известный протокол децентрализованной анонимизации. Благодаря механизмам смешивания Tornado Cash, движение средств стало полностью скрытым, что значительно усложнило их возврат жертвами.

Эта цепочка действий демонстрирует высокий уровень профессионализма и преднамеренности злоумышленников. От технических атак на смарт-контракты, через межцепочечные переводы, до использования протоколов приватности для маскировки — весь процесс образовал полноценную преступную цепочку, что затрудняет правоохранительным органам и участникам экосистемы отслеживание и блокировку этих средств.

Уязвимость управления прокси-контрактами: распространённая проблема инфраструктуры DeFi

Выявленные проблемы выходят за рамки одного проекта. В целом, в экосистеме DeFi обновляемые контракты стали стандартом, однако большинство проектов имеют серьёзные уязвимости в управлении правами ProxyAdmin. Централизованный контроль прав означает, что одна точка отказа может привести к крупным потерям — как в случае с этим инцидентом, где украдено 1,5 миллиона долларов.

Стоит отметить, что подобные векторы атак не являются новыми, однако многие проекты по-прежнему их игнорируют. Некоторые не обеспечивают должной защиты ключей развертывающих адресов, плохо продумана схема мультиподписей для обновлений контрактов, что дает злоумышленникам возможность воспользоваться этим. Этот инцидент стал тревожным сигналом для всей экосистемы — необходимы надежные механизмы управления, мультиподписи, таймлоки и другие меры защиты, без которых невозможно обеспечить безопасность.