Неизвестный вывел с блокчейн-платформы QANplatform более $1 млн

Злоумышленник взломал контракт кроссчейн-моста платформы QANplatform и вывел токены QANX на сумму более $1 млн. Цена монеты обвалилась почти на 94%.

The bridge smart contract that is offline was hacked and the attacker managed to withdraw tokens. Please don’t perform any transactions related to the QANX token. We are investigating the issue and going to keep you updated.— QANplatform (@QANplatform) October 11, 2022 Специалисты компании PeckShield сообщили, что хакер обменял активы на ~3090 BNB (~$0,8 млн) и ~256 ETH ($0,3 млн). Он начал переводить средства в миксер Tornado Cash. 

#PeckShieldAlert The @QANplatform exploiter has swapped tons of stolen $QANX to ~3,090 $BNB ($837.5k) and ~256 $ETH ($328k) and started to transfer to Mixer (Tornado Cash) https://t.co/6Hn73CxJ5b pic.twitter.com/CsiA9pBgwr— PeckShieldAlert (@PeckShieldAlert) October 11, 2022 Эксперты из BlockSec отметили, что хакер использовал уязвимость инструмента Profanity для создания персонифицированных "адресов тщеславия" (vanity address). Подобный был использован для развертывания протокола.

We confirmed that @QANplatform deployer address (0x68e8198d5b3b3639372358542b92eb997c5c314a) are vulnerable to the profanity vulnerability. The private keys can be recovered. Multiple attackers have exploited this vulnerability. pic.twitter.com/wlq7ZlmF8I— BlockSec (@BlockSecTeam) October 11, 2022 В BlockSec считают, что этим багом воспользовались уже несколько злоумышленников. Однако команда платформы ParaSwap, например, опровергла подобные подозрения специалистов по кибербезопасности из Supremacy.

1/ Hi @paraswap ,I heard that you want to see this? your deployer address private key may have been compromised (possibly due to Profanity vulnerability) and funds have