Hi everyone,
As announced, I would like to disclose the details of the exploit and how did we get the money back.
Firsly, the reason of the exploit was there was a bug in ‘request swap from POTION to BPET’ functionality that makes the exploiter be able to withdraw excessive amounts of $BPET tokens from the PvP contract after staking their own tokens.
Below are some noticeable withdrawing transactions the exploiter made
To read more about what happend in details, please check out the tweet
Right after becoming fully aware of the exploit, we did 2 things
- Checked out to see if the exploiter’s addresses can be mapped with any Twitter profiles of any xPet users (and we found the user mapping with one of the exploiter addresses)
- Reached out to all partners in our network who can pour in the helps. They were explorer sites, centralized exchanges, privacy mixers, offramp tools, and security firms.
To be specific, Etherscan team helped us to tag all 4 addresses related to the exploiter on Ethereum on Arbiscan as ‘xPet exploiter’. Thanks for that, the exploiter addresses were visibly exposed to and closely-watched by the public. All the centralized exchange, privacy mixer, and offramp tool teams helped to take close notice In case any of the exploiting address would have interactions with centralized exchange Hot wallets, privacy mixer contracts, or offramp tool depositing addresses. The security firms has helped us follow all, even smallest, onchain traces from the exploiter
In short, we had the combined efforts from multiple parties to closely monitoring the exploiter's movements and ensure that exploiter doesn’t have any chance to get the stolen funds mixed or obscured.
In conjunction with working closely with third-party partners, we kept the conversation with the exploiter on Twitter message. On Feb 17th, the exploiter started to reach back and we brought to the table a win-win deal and also made a promise to suspend all the efforts to track him down and clear all future legal action against him. Please read the convo here
At 06:23:35 PM +UTC and 10:01:35 PM +UTC of Feb-17-2024, the exploiter made 2 transactions sending back the stolen fund to our address 0x0533336D4B59a367ed8Ef1080ceB0f51Bc436Dca on Ethereum mainnet
As we have received back the stolen funds in full amount, we will start the buying back process from today.
Here are the 2 buying back transactions we have made today
Chào mọi người,
Như đã thông báo, tôi muốn tiết lộ chi tiết về việc khai thác và cách chúng tôi lấy lại tiền.
Thứ nhất, lý do khai thác là do có lỗi trong chức năng 'yêu cầu hoán đổi từ POTION sang BPET' khiến kẻ khai thác có thể rút quá nhiều mã thông báo $BPET khỏi hợp đồng PvP sau khi đặt cọc mã thông báo của riêng họ.
Dưới đây là một số giao dịch rút tiền đáng chú ý mà kẻ khai thác đã thực hiện
Để đọc thêm chi tiết về những gì đã xảy ra, vui lòng xem tweet
Ngay sau khi nhận thức đầy đủ về việc khai thác, chúng tôi đã làm 2 việc
- Đã kiểm tra xem liệu địa chỉ của kẻ khai thác có thể được ánh xạ với bất kỳ hồ sơ Twitter nào của bất kỳ người dùng xPet nào không (và chúng tôi đã tìm thấy ánh xạ người dùng với một trong các địa chỉ của kẻ khai thác)
- Đã liên hệ với tất cả các đối tác trong mạng lưới của chúng tôi, những người có thể hỗ trợ. Đó là các trang web khám phá, sàn giao dịch tập trung, công cụ trộn lẫn quyền riêng tư, công cụ vi phạm và các công ty bảo mật.
Cụ thể, nhóm Etherscan đã giúp chúng tôi gắn thẻ tất cả 4 địa chỉ liên quan đến công cụ khai thác trên Ethereum trên Arbiscan là ‘công cụ khai thác xPet’. Nhờ đó, các địa chỉ của kẻ khai thác đã được công chúng biết đến và theo dõi chặt chẽ. Tất cả các nhóm công cụ trao đổi tập trung, bộ trộn quyền riêng tư và công cụ vi phạm đều giúp chú ý chặt chẽ trong trường hợp bất kỳ địa chỉ khai thác nào có tương tác với sàn giao dịch tập trung Ví nóng, hợp đồng trộn quyền riêng tư hoặc địa chỉ gửi công cụ vi phạm. Các công ty bảo mật đã giúp chúng tôi theo dõi tất cả các dấu vết trên chuỗi, thậm chí là nhỏ nhất từ kẻ khai thác
Nói tóm lại, chúng tôi đã có sự nỗ lực tổng hợp từ nhiều bên để theo dõi chặt chẽ hoạt động của kẻ khai thác và đảm bảo rằng kẻ khai thác không có bất kỳ cơ hội nào để trộn lẫn hoặc che giấu số tiền bị đánh cắp.
Cùng với việc hợp tác chặt chẽ với các đối tác bên thứ ba, chúng tôi vẫn duy trì cuộc trò chuyện với kẻ khai thác trên tin nhắn Twitter. Vào ngày 17 tháng 2, kẻ bóc lột bắt đầu quay trở lại và chúng tôi đã đưa ra một thỏa thuận đôi bên cùng có lợi, đồng thời hứa sẽ đình chỉ mọi nỗ lực truy tìm hắn và xóa bỏ mọi hành động pháp lý chống lại hắn trong tương lai. Vui lòng đọc cuộc trò chuyện tại đây
Vào lúc 06:23:35 PM +UTC và 10:01:35 PM +UTC ngày 17 tháng 2 năm 2024, kẻ khai thác đã thực hiện 2 giao dịch gửi lại số tiền bị đánh cắp đến địa chỉ của chúng tôi 0x0533336D4B59a367ed8Ef1080ceB0f51Bc436Dca trên mạng chính Ethereum
Vì chúng tôi đã nhận lại toàn bộ số tiền bị đánh cắp nên chúng tôi sẽ bắt đầu quá trình mua lại kể từ hôm nay.
Đây là 2 giao dịch mua lại chúng tôi đã thực hiện ngày hôm nay
As announced, I would like to disclose the details of the exploit and how did we get the money back.
Firsly, the reason of the exploit was there was a bug in ‘request swap from POTION to BPET’ functionality that makes the exploiter be able to withdraw excessive amounts of $BPET tokens from the PvP contract after staking their own tokens.
Below are some noticeable withdrawing transactions the exploiter made
Arbitrum Transaction Hash (Txhash) Details | Arbiscan
Arbitrum (ETH) detailed transaction info for txhash 0x058b8808e721f68c01c62ad70687f38f39d749bfc9d0e8f6be839c3af603dec6. The transaction status, block confirmation, gas fee, ETH, and token transfer are shown.
arbiscan.io
Arbitrum Transaction Hash (Txhash) Details | Arbiscan
Arbitrum (ETH) detailed transaction info for txhash 0x1ad1f7536e2d91cc5aeef6e29f948ee73fa760a482b0455ca78adade83c4ef53. The transaction status, block confirmation, gas fee, ETH, and token transfer are shown.
arbiscan.io
Arbitrum Transaction Hash (Txhash) Details | Arbiscan
Arbitrum (ETH) detailed transaction info for txhash 0x500713e7c025d5ab71e2446069a46a60009ef8060d2537bc4b29296c6f76f9d7. The transaction status, block confirmation, gas fee, ETH, and token transfer are shown.
arbiscan.io
To read more about what happend in details, please check out the tweet
Right after becoming fully aware of the exploit, we did 2 things
- Checked out to see if the exploiter’s addresses can be mapped with any Twitter profiles of any xPet users (and we found the user mapping with one of the exploiter addresses)
- Reached out to all partners in our network who can pour in the helps. They were explorer sites, centralized exchanges, privacy mixers, offramp tools, and security firms.
To be specific, Etherscan team helped us to tag all 4 addresses related to the exploiter on Ethereum on Arbiscan as ‘xPet exploiter’. Thanks for that, the exploiter addresses were visibly exposed to and closely-watched by the public. All the centralized exchange, privacy mixer, and offramp tool teams helped to take close notice In case any of the exploiting address would have interactions with centralized exchange Hot wallets, privacy mixer contracts, or offramp tool depositing addresses. The security firms has helped us follow all, even smallest, onchain traces from the exploiter
In short, we had the combined efforts from multiple parties to closely monitoring the exploiter's movements and ensure that exploiter doesn’t have any chance to get the stolen funds mixed or obscured.
In conjunction with working closely with third-party partners, we kept the conversation with the exploiter on Twitter message. On Feb 17th, the exploiter started to reach back and we brought to the table a win-win deal and also made a promise to suspend all the efforts to track him down and clear all future legal action against him. Please read the convo here
At 06:23:35 PM +UTC and 10:01:35 PM +UTC of Feb-17-2024, the exploiter made 2 transactions sending back the stolen fund to our address 0x0533336D4B59a367ed8Ef1080ceB0f51Bc436Dca on Ethereum mainnet
Ethereum Transaction Hash (Txhash) Details | Etherscan
Ethereum (ETH) detailed transaction info for txhash 0x825e63fdf68c773f7a9b3a440b1bdce4640e4530af6fc2653982ed29bed541ee. The transaction status, block confirmation, gas fee, Ether (ETH), and token transfer are shown.
etherscan.io
Ethereum Transaction Hash (Txhash) Details | Etherscan
Ethereum (ETH) detailed transaction info for txhash 0xaeb79241df56b3d1af84815c64ceb145a652e97eb101b572232fb4ca039c2573. The transaction status, block confirmation, gas fee, Ether (ETH), and token transfer are shown.
etherscan.io
As we have received back the stolen funds in full amount, we will start the buying back process from today.
Here are the 2 buying back transactions we have made today
Arbitrum Transaction Hash (Txhash) Details | Arbiscan
Arbitrum (ETH) detailed transaction info for txhash 0x8a536bd498dd9a91d84a507f7ce766795b7536879c8e4cf92f662aaca39d66ce. The transaction status, block confirmation, gas fee, ETH, and token transfer are shown.
arbiscan.io
Arbitrum Transaction Hash (Txhash) Details | Arbiscan
Arbitrum (ETH) detailed transaction info for txhash 0x303983a580c7ee95ef9322947125412b83e23e10bf4d26103ac818b8a43fe310. The transaction status, block confirmation, gas fee, ETH, and token transfer are shown.
arbiscan.io
Chào mọi người,
Như đã thông báo, tôi muốn tiết lộ chi tiết về việc khai thác và cách chúng tôi lấy lại tiền.
Thứ nhất, lý do khai thác là do có lỗi trong chức năng 'yêu cầu hoán đổi từ POTION sang BPET' khiến kẻ khai thác có thể rút quá nhiều mã thông báo $BPET khỏi hợp đồng PvP sau khi đặt cọc mã thông báo của riêng họ.
Dưới đây là một số giao dịch rút tiền đáng chú ý mà kẻ khai thác đã thực hiện
Arbitrum Transaction Hash (Txhash) Details | Arbiscan
Arbitrum (ETH) detailed transaction info for txhash 0x058b8808e721f68c01c62ad70687f38f39d749bfc9d0e8f6be839c3af603dec6. The transaction status, block confirmation, gas fee, ETH, and token transfer are shown.
arbiscan.io
Arbitrum Transaction Hash (Txhash) Details | Arbiscan
Arbitrum (ETH) detailed transaction info for txhash 0x1ad1f7536e2d91cc5aeef6e29f948ee73fa760a482b0455ca78adade83c4ef53. The transaction status, block confirmation, gas fee, ETH, and token transfer are shown.
arbiscan.io
Arbitrum Transaction Hash (Txhash) Details | Arbiscan
Arbitrum (ETH) detailed transaction info for txhash 0x500713e7c025d5ab71e2446069a46a60009ef8060d2537bc4b29296c6f76f9d7. The transaction status, block confirmation, gas fee, ETH, and token transfer are shown.
arbiscan.io
Để đọc thêm chi tiết về những gì đã xảy ra, vui lòng xem tweet
Ngay sau khi nhận thức đầy đủ về việc khai thác, chúng tôi đã làm 2 việc
- Đã kiểm tra xem liệu địa chỉ của kẻ khai thác có thể được ánh xạ với bất kỳ hồ sơ Twitter nào của bất kỳ người dùng xPet nào không (và chúng tôi đã tìm thấy ánh xạ người dùng với một trong các địa chỉ của kẻ khai thác)
- Đã liên hệ với tất cả các đối tác trong mạng lưới của chúng tôi, những người có thể hỗ trợ. Đó là các trang web khám phá, sàn giao dịch tập trung, công cụ trộn lẫn quyền riêng tư, công cụ vi phạm và các công ty bảo mật.
Cụ thể, nhóm Etherscan đã giúp chúng tôi gắn thẻ tất cả 4 địa chỉ liên quan đến công cụ khai thác trên Ethereum trên Arbiscan là ‘công cụ khai thác xPet’. Nhờ đó, các địa chỉ của kẻ khai thác đã được công chúng biết đến và theo dõi chặt chẽ. Tất cả các nhóm công cụ trao đổi tập trung, bộ trộn quyền riêng tư và công cụ vi phạm đều giúp chú ý chặt chẽ trong trường hợp bất kỳ địa chỉ khai thác nào có tương tác với sàn giao dịch tập trung Ví nóng, hợp đồng trộn quyền riêng tư hoặc địa chỉ gửi công cụ vi phạm. Các công ty bảo mật đã giúp chúng tôi theo dõi tất cả các dấu vết trên chuỗi, thậm chí là nhỏ nhất từ kẻ khai thác
Nói tóm lại, chúng tôi đã có sự nỗ lực tổng hợp từ nhiều bên để theo dõi chặt chẽ hoạt động của kẻ khai thác và đảm bảo rằng kẻ khai thác không có bất kỳ cơ hội nào để trộn lẫn hoặc che giấu số tiền bị đánh cắp.
Cùng với việc hợp tác chặt chẽ với các đối tác bên thứ ba, chúng tôi vẫn duy trì cuộc trò chuyện với kẻ khai thác trên tin nhắn Twitter. Vào ngày 17 tháng 2, kẻ bóc lột bắt đầu quay trở lại và chúng tôi đã đưa ra một thỏa thuận đôi bên cùng có lợi, đồng thời hứa sẽ đình chỉ mọi nỗ lực truy tìm hắn và xóa bỏ mọi hành động pháp lý chống lại hắn trong tương lai. Vui lòng đọc cuộc trò chuyện tại đây
Vào lúc 06:23:35 PM +UTC và 10:01:35 PM +UTC ngày 17 tháng 2 năm 2024, kẻ khai thác đã thực hiện 2 giao dịch gửi lại số tiền bị đánh cắp đến địa chỉ của chúng tôi 0x0533336D4B59a367ed8Ef1080ceB0f51Bc436Dca trên mạng chính Ethereum
Ethereum Transaction Hash (Txhash) Details | Etherscan
Ethereum (ETH) detailed transaction info for txhash 0x825e63fdf68c773f7a9b3a440b1bdce4640e4530af6fc2653982ed29bed541ee. The transaction status, block confirmation, gas fee, Ether (ETH), and token transfer are shown.
etherscan.io
Ethereum Transaction Hash (Txhash) Details | Etherscan
Ethereum (ETH) detailed transaction info for txhash 0xaeb79241df56b3d1af84815c64ceb145a652e97eb101b572232fb4ca039c2573. The transaction status, block confirmation, gas fee, Ether (ETH), and token transfer are shown.
etherscan.io
Vì chúng tôi đã nhận lại toàn bộ số tiền bị đánh cắp nên chúng tôi sẽ bắt đầu quá trình mua lại kể từ hôm nay.
Đây là 2 giao dịch mua lại chúng tôi đã thực hiện ngày hôm nay
Arbitrum Transaction Hash (Txhash) Details | Arbiscan
Arbitrum (ETH) detailed transaction info for txhash 0x8a536bd498dd9a91d84a507f7ce766795b7536879c8e4cf92f662aaca39d66ce. The transaction status, block confirmation, gas fee, ETH, and token transfer are shown.
arbiscan.io
Arbitrum Transaction Hash (Txhash) Details | Arbiscan
Arbitrum (ETH) detailed transaction info for txhash 0x303983a580c7ee95ef9322947125412b83e23e10bf4d26103ac818b8a43fe310. The transaction status, block confirmation, gas fee, ETH, and token transfer are shown.
arbiscan.io