Разработчики инфраструктурного кроссчейн-протокола Socket сообщили о взломе: хакерам удалось вывести с кошельков пользователей около $3,3 млн. После этого работа смарт-контрактов была остановлена.

Протоколом Socket пользуется достаточно большое количество проектов Web3, включая Synthetix, Lyra, Kwentra, Superform, Plasma Finance и Level Finance. 

Судя по всему, злоумышленникам удалось обнаружить уязвимость, которая давала доступ к средствам на счетах пользователей, ранее взаимодействовавших с протоколом. Под угрозой оказались кошельки, которые выдавали безлимитные, либо завышенные разрешения на вывод средств.

По данным аналитической компании PeckShield, новый маршрут, который оказался подвержен уязвимости, был добавлен в смарт-контракты протокола всего 3 дня назад. Скорее всего, разработчики недостаточно протестировали новый функционал.

«Смысл в том, что хакеры могут выводить средства до установленного ограничения для адреса протокола Socket. Например, пользователь переводит $1 000, но установил ограничение на $2 000. Это позволит хакерам вывести эту дополнительную тысячу долларов», ― рассказал директор по исследованиям The Block Стивен Чжэн (Steven Zheng).

В начале января хакерам удалось получить доступ к средствам кредитного протокола Radiant Capital и вывести $4,5 млн.