ZachXBT сообщил: проект BSC 'GANA Payment' стал жертвой эксплойта на сумму $3,1 млн

Краткий обзор эксплойта GANA Payment

Эксперт по блокчейн-безопасности ZachXBT сообщил о серьезной утечке, затронувшей криптопроект GANA Payment на BNB Smart Chain (BSC). Потери превысили $3,1 млн, что стало очередным тревожным сигналом для отрасли блокчейн-безопасности.

Атака показала высокий уровень подготовки злоумышленников из криптовалютной среды. Часть похищенных средств была отмыта через Tornado Cash — приватный протокол, работающий на BSC и Ethereum. Около $1 млн остается замороженным на блокчейне Ethereum, ожидая дальнейших действий эксплуатанта.

По данным, опубликованным ZachXBT в Telegram, злоумышленник аккумулировал украденные активы на адресе 0x2e8****5c38, затем перевел 1 140 BNB на сумму $1,04 млн через Tornado Cash в сети BSC. Это стандартный метод отмывания, позволяющий скрыть происхождение криптовалюты.

Затем атакующий перевел дополнительные средства на Ethereum — через кроссчейн-операцию он провел 346,8 ETH на сумму $1,05 млн через Tornado Cash. Анализ показывает, что 346 ETH до сих пор не тронуты на адресе 0x7a503****b3cca, что может свидетельствовать о выжидательной тактике во избежание обнаружения.

Инцидент демонстрирует сложность обеспечения безопасности блокчейн-проектов. Использование Tornado Cash показывает, как злоумышленники применяют легальные инструменты приватности для противоправных целей, что затрудняет возврат средств и расследование.

Технический анализ: манипуляция правами на контракт

HashDit — компания по блокчейн-безопасности — провела срочное расследование после выявления подозрительной активности. В ходе анализа была обнаружена главная уязвимость: несанкционированное изменение структуры владения контрактом GANA.

Эксплойт заключался во вмешательстве в параметры владения смарт-контрактом GANA. Получив контроль над критическими функциями, злоумышленник получил администраторские права на механизм стейкинга и смог менять ставки распределения вознаграждений, разрушив целостность системы стейкинга.

Атака состояла из нескольких этапов. Сначала злоумышленник захватил контроль над ключевыми функциями. Затем он неоднократно запускал функции вывода, каждый раз получая больше токенов GANA, чем предусмотрено условиями работы системы. Манипуляция расчетом вознаграждений позволила ему получить или создать токенов значительно больше, чем у обычных пользователей.

Полученные токены были проданы на децентрализованных биржах — сброс позволил обменять их на более ликвидные криптовалюты BNB и ETH. Такая конвертация необходима для последующего этапа отмывания, поскольку крупные криптовалюты дают больше возможностей для перемещения средств.

В финале средства были проведены через Tornado Cash, который разрывает связь между адресами и затрудняет расследование.

HashDit выпустила срочное предупреждение: пользователям рекомендовано немедленно прекратить любые операции с токенами GANA до получения официальных инструкций и внедрения обновлений безопасности. Компания подчеркнула, что дальнейшее взаимодействие с уязвимым контрактом связано с дополнительными рисками.

Эксплойт GANA стал очередным случаем для истории безопасности BSC, хотя сеть улучшила показатели. По совместным данным BNB Chain и Hacken, потери сократились на 70% — с $161 млн в 2023 году до $47 млн в 2024-м. Несмотря на позитивную динамику и новые меры защиты, отдельные атаки, такие как эксплойт GANA, продолжают испытывать защиту сети.

Ранее на BSC произошли инциденты, иллюстрирующие развитие угроз. В сентябре фишинговая атака привела к потере $13,5 млн у пользователя Venus Protocol после случайного одобрения вредоносной транзакции — сам протокол остался защищён, а потери связаны с социальной инженерией.

Также платформа Four.Meme была взломана на $183 000 во время волатильности рынка. Атака, вероятно, была реализована методом sandwich-атаки, потери составили 125 BNB и совпали с ажиотажем вокруг токена Test.

План восстановления и начало расследования

Команда GANA оперативно выступила с официальным заявлением о внешней атаке на инфраструктуру контракта. В документе подтвержден несанкционированный доступ и вывод пользовательских средств через эксплойт уязвимостей контракта.

В ответ команда анонсировала план действий: привлечена независимая компания с компетенциями в блокчейн-аналитике и безопасности смарт-контрактов. Партнерство направлено на экстренное расследование: анализ вектора атаки и точек проникновения, выявление уязвимостей и оценку масштаба воздействия на пользователей и инфраструктуру.

Стратегия восстановления включает перезапуск системы, полный аудит пользовательских адресов и уровней разрешений. Такой анализ необходим для исключения остаточных уязвимостей перед возобновлением работы.

Команда GANA принесла извинения пострадавшим пользователям за неудобства и финансовые потери. Они пообещали открыто освещать процесс восстановления, публиковать планы компенсаций, механизмы выплат и сроки реализации через официальные каналы.

Эксплойт произошёл в период низкой активности инцидентов в криптоотрасли. По данным PeckShield, за последнее время зафиксированы минимальные потери: $18,18 млн в 15 случаях — на 85,7% меньше, чем $127,06 млн месяцем ранее.

Тем не менее, специалисты по безопасности отмечают: несмотря на позитивные показатели, злоумышленники совершенствуют методы атак так же быстро, как протоколы усиливают защиту. Сложность эксплойта GANA подтверждает продолжающееся противостояние между атакующими и защитниками.

Вскоре после взлома GANA произошла более крупная атака на Balancer Protocol. Протокол потерял более $128 млн на разных сетях; злоумышленник воспользовался уязвимостями в Balancer V2 Composable Stable Pools — некорректной авторизацией и обработкой callback-функций. Атака позволила вывести крупные активы за минуты; впоследствии средства отмывались через Tornado Cash аналогично эксплойту GANA.

Протокол StakeWise сумел вернуть $19,3 млн в osETH в ходе экстренного вызова контракта, снизив чистые потери Balancer примерно до $98 млн. Тем не менее, инцидент сильно ударил по рынку: TVL Balancer за день упал с $442 млн до $214,52 млн, что отражает ущерб доверию к DeFi-протоколам из-за подобных взломов.

Все эти события подчеркивают важность качественных аудитов безопасности, постоянного мониторинга и быстрой реакции для проектов в сфере децентрализованных финансов.

FAQ

Как был реализован эксплойт на $3,1 млн в GANA Payment?

Эксплойт был направлен на уязвимости смарт-контракта GANA Payment на BSC, что позволило атакующим вывести средства через повторные входы и несанкционированные переводы токенов, приведя к убыткам в $3,1 млн.

Как повлияла уязвимость проекта BSC на средства пользователей?

Эксплойт на $3,1 млн непосредственно затронул активы пользователей GANA Payment. Они понесли мгновенные потери, а атакующие вывели средства из пулов ликвидности и пользовательских балансов. Были предприняты срочные проверки безопасности кошельков и мониторинг восстановления через анализ блокчейна.

Как выявлять и оценивать риски смарт-контрактов в DeFi?

Проверяйте аудит от признанных компаний, изучайте код на GitHub, следите за bug bounty, оценивайте квалификацию разработчиков, историю развертывания, глубину ликвидности и отзывы сообщества.

Что предприняла команда GANA Payment в ответ на инцидент?

Команда GANA Payment немедленно инициировала реагирование, приостановила работу смарт-контрактов, привлекла аудиторов безопасности для расследования эксплойта на $3,1 млн, наладила прозрачную коммуникацию с пользователями и начала работу над восстановлением и усилением безопасности.

Как инвесторам защититься от подобных уязвимостей в блокчейн-проектах?

Проводите тщательные аудиты смарт-контрактов с помощью признанных компаний, диверсифицируйте вложения, отслеживайте обновления безопасности, проверяйте команду, используйте аппаратные кошельки и выбирайте проекты с прозрачным управлением и активными bug bounty.

Какие проекты BSC сталкивались с инцидентами из-за уязвимостей смарт-контрактов?

В BSC были инциденты с PancakeSwap (flash loan), Binance Bridge (кроссчейн-эксплойт), SafeMoon (риск rug pull) и другими проектами, столкнувшимися с уязвимостями смарт-контрактов и эксплойтами, приведшими к серьезным потерям.