Злоумышленник взял займ в токенах BONE на сумму $4,6 млн, а получив контроль над ключами, опустошил контракт моста, выведя из него 224,57 ETH и 92,6 млрд SHIB. Затем хакер переместил украденные средства на свой адрес. Злоумышленник использовал свое привилегированное положение для подписания вредоносных изменений и извлечения активов из моста.
Разработчик Shiba Inu Каал Дхайрия (Kaal Dhairya) назвал этот инцидент сложной атакой, которая могла планироваться несколько месяцев. Причина эксплойта пока не известна: был ли это скомпрометированный сервер или проблема возникла с устройством разработчика.
Команда Shiba Inu временно отключила некоторые функции моста, в том числе стейкинг и анстейкинг. Оставшиеся активы переведены в аппаратный кошелек с мультиподписью. Заимствованные токены BONE, использованные в атаке, остаются заблокированными в Валидаторе 1 благодаря задержкам в анстейкинге. Этот механизм может помешать злоумышленнику получить полную прибыль от проведенной атаки.
Для расследования инцидента, Shiba Inu сотрудничает с компаниями, работающими в сфере информационной безопасности: Hexens, Seal 911 и PeckShield. Команда Shiba Inu выразила готовность вести переговоры с хакером, пообещав не выдвигать против него обвинения, если средства будут возвращены за вознаграждение.
Ранее разработчики Shiba Inu предупредили о поддельных токенах, имеющих схожее название с криптоактивами TREAT. Официальные токены TREAT запущены только в сети Эфириума в январе 2025 года, уточнили в Shiba Inu. В начале года стало известно о поддельных веб-сайтах, имитирующих официальный ресурс Shiba Inu.