Совершивший атаку на протокол Renegade.fi и воспользовавшийся уязвимостью одного из децентрализованных темных пулов на основе Arbitrum хакер вернул проекту более 90% украденных средств ($190 000).
Специалисты по безопасности блокчейна из компании Blockaid первыми сообщили, что в воскресенье, 10 мая, из темного пула Renegade V1 Arbitrum были украдены 27 токенов стандарта ERC-20 на общую сумму $209 000. В Renegade предположили, что уязвимость могла возникнуть из-за некорректной миграции при обновлении программного обеспечения, состоявшегося в апреле 2025 года. В итоге злоумышленник переписал смарт-контракт, связанный с темным пулом V1 Arbitrum. Владельцы проекта пообещали опубликовать подробный отчет о причинах инцидента.
Команда Renegade отправила в блокчейне сообщение взломщику, попросив вернуть 90% похищенных средств и оставить 10% в качестве вознаграждения за поиск багов. Это позволит избежать уголовного наказания, пообещали разработчики. Хакер согласился на предложение, вернув на адрес кошелька Arbitrum 0xE4A…5CFBE стейблкоины USDC на сумму $84 370, обернутые биткоины (WBTC) на $27 885 и обернутые эфиры (WETH) на $23 950.
Хакер вернул средства в течение 45 минут и заявил, что совершил взлом ради защиты пользователей децентрализованных финансов (DeFi) и что обнаруженная уязвимость позволила слишком легко вывести чужие средства. Он попросил создателей Renegade ужесточить меры безопасности.
«Да, мои действия были неэтичными, но учитывая нынешнее состояние безопасности DeFi, считаю, что это было лучшим способом защитить средства пользователей и обеспечить их безопасность», — написал хакер.
В Renegade пообещали полностью компенсировать ущерб пострадавшим пользователям. Команда проекта заявила, что только 7% ее торгового объема проходило через темный пул V1 Arbitrum, поэтому число пострадавших невелико — и с ними команда свяжется напрямую.
Не все белые хакеры остаются довольны вознаграждением. В марте анонимный специалист по кибербезопасности обвинил криптопроект Injective в невыплате $500 000, заявив, что платформа в десять раз снизила обещанное вознаграждение за найденную критическую ошибку.