סך של 370,000 אלף טוקני NXM רוקנו מכתובתו של מנכ"ל הפרויקט, יו קארפ (Hugh Karp), אל כתובתו של התוקף בשעה 9:40 (שעון אוניברסלי) לפני יומיים (ב-14 בדצמבר).
על פי ציוצי הפרויקט בטוויטר, התוקף השלים את תהליך ה-KYC (הכר את המשתמש) ב-Nexus Mutual, והחליף לכתובת אחרת ב-3 לדצמבר. לאחר מכן השיג גישה אל מחשבו הפרטי של קארפ ומשם שינה את תצורת ארנק ה-MetaMask.
ארנק MetaMask משמש את משתמשי אתריום לאינטגרציה עם אפליקציות מבוזרות שמבוססות עליה. כלומר ניתן להתחבר דרך ארנקי חומרה כגון לדג'ר או טרזור לממשק של MetaMask, ובאמצעותו להשתמש בפלטפורמת הביטוח של Nexus.
כאשר קארפ אישר עסקה, ההשתלטות של התוקף הובילה לשינוי הכתובת והסכום בהתקפה שנקראת Man in the Middle, וכך העביר 8 מיליון דולר בטוקני NXM ישירות אל הכתובת של התוקף.
בינתיים ידוע רק על כתובתו של קארפ, ושאר השותפים לא נפגעו מהתקיפה – "פרויקט הביטוח לא הושפע מן המהלך, בריכות המימון (Pool Funds) ושאר המערכות נמצאים כעת בבטחה," הוסיף הפרויקט בטוויטר.
התוקף מנזיל את הכסף
מאז שחרור הידיעה לציבור, מחירו של הטוקן NXM צנח ב-20% אך חזר להיסחר כעת בשער של כ-$17.77, לאחר שקפץ כ-10% בחזרה.
חלק מהשלל הגנוב הוזרם דרך הבורסה המבוזרת 1inch.exchange ונמסר בתגובה מנקסוס: "אנו מברכים כל עזרה לעצירת זרימת הטוקנים, שכן ככל הנראה ינועו במהירות."
על פי דיווחים שיוצאים היום, התוקף כבר הנזיל כ-3 מיליון דולר מן המטבעות שגנב. התוקף השתמש בצורה מתוחכמת בטוקן ERC20 שנקרא renBTC, והינו מגובה 1:1 בביטקוין (כלומר ביטקוין שמיוצג על אתריום). כך, הצליח למשוך 137 מטבעות ביטקוין לארנקו.
קארפ ניסה להציג אלטרנטיבה לתוקף, כשהציע 300,000$ פרס עבור החזרת הכספים, אך כפי שניכר בפעולותיו: התוקף לא מעוניין.
Nexus Mutual
Nexus Mutual היא חלופת ביטוח אשר בבעלות הקהילה שאותה היא משרתת. הפרויקט מציע ללקוחותיו, בין היתר, הגנה מפני סיכונים שונים בסביבת הכלכלה המבוזרת (DeFi).
אך ורק חברי הפרויקט שעברו KYC יכולים לקחת חלק בתפקוד הרשת, לקנות ולהחזיק טוקנים של NXM.
לאחרונה בטוויטר מספר הולך וגובר של ציוצים אשר מפנים אצבע מאשימה כלפי מייסד הפרויקט יו קארפ, בין היתר על התנהלות הפרויקט אך בעיקר על מקרה הגניבה שכן הדבר קרה ממחשבו האישי,מה שמעלה סימני שאלה נוספים.
