Superfortune: утечка приватного ключа злоумышленника, а не отравление адреса; инсайдеры не причастны

Проект Superfortune, инкубируемый Manta, недавно опубликовал на платформе X обновление касательно инцидента безопасности. В нем сообщается, что атака не была совершена внутренними сотрудниками и никто из членов команды не был вовлечен. Утверждения о тайной продаже токенов командой не соответствуют действительности. Кроме того, команда не контактировала с Web3Port.

Расследование подтвердило, что причиной атаки стало не отравление адреса, а утечка приватного ключа подписанта. Злоумышленник самостоятельно завладел приватным ключом и отправил транзакцию с поддельным адресом через 43 минуты после корректной транзакции. Поддельный адрес совпадает с правильным по первым и последним четырем символам (начинается с 0x70AE и заканчивается на 5C15), что позволило замаскировать его в интерфейсе предварительного просмотра Safe. Украденные средства полностью отслеживаемы и в настоящее время хранятся на трех холодных кошельках в сети Ethereum; они содержат около 2784 ETH, а также около 170 000 USDT, которые были выведены через кроссчейн-перевод.

Злоумышленник также создал большое количество поддельных адресов и отправлял на них ложные события переводов, используя поддельные символы токенов в формате Unicode, чтобы запутать отслеживание. Этот метод создания поддельных адресов совпадает с тем, что использовался при атаке на данный проект. Злоумышленник заранее подготовил масштабную инфраструктуру, что указывает на промышленный характер операции, а не на случайную атаку.