Хакер, який здійснив атаку на протокол Renegade.fi і скористався вразливістю одного з децентралізованих темних пулів на основі Arbitrum, повернув проекту більше 90% вкрадених коштів ($190 000).
Фахівці з безпеки блокчейну з компанії Blockaid першими повідомили, що в неділю, 10 травня, з темного пулу Renegade V1 Arbitrum було вкрадено 27 токенів стандарту ERC-20 на загальну суму $209 000. У Renegade припустили, що вразливість забезпечення що відбувся у квітні 2025 року. У результаті зловмисник переписав смарт-контракт, пов'язаний із темним пулом V1 Arbitrum. Власники проекту пообіцяли опублікувати докладний звіт щодо причин інциденту.
Команда Renegade відправила в блокчейне повідомлення зломщику, попросивши повернути 90% викрадених коштів і залишити 10% як винагороду за пошук багів. Це дозволить уникнути карного покарання, пообіцяли розробники. Хакер погодився на пропозицію, повернувши на адресу гаманця Arbitrum 0xE4A…5CFBE стейблкоїни USDC на суму $84 370, обгорнуті біткоїни (WBTC) на $27 885 і обернені ефіри (WETH) на $23 950.
Хакер повернув кошти протягом 45 хвилин і заявив, що здійснив злом заради захисту користувачів децентралізованих фінансів (DeFi) і що виявлена вразливість дозволила легко вивести чужі кошти. Він попросив творців Renegade посилити заходи безпеки.
“Так, мої дії були неетичними, але враховуючи нинішній стан безпеки DeFi, вважаю, що це був найкращий спосіб захистити засоби користувачів та забезпечити їхню безпеку”, – написав хакер.
У Renegade пообіцяли повністю компенсувати збитки постраждалим користувачам. Команда проекту заявила, що лише 7% її торговельного обсягу проходило через темний пул V1 Arbitrum, тому кількість постраждалих невелика — і команда з ними зв'яжеться безпосередньо.
Не всі білі хакери залишаються задоволеними винагородою. У березні анонімний фахівець з кібербезпеки звинуватив криптопроект Injective у невиплаті $500 000, заявивши, що платформа вдесятеро знизила обіцяну винагороду за знайдену критичну помилку.