Compass Investments

Приватный протокол Foom.Cash лишился приблизительно $2,26 млн после того, как некий злоумышленник сфабриковал доказательства zkSNARK в результате некорректных настроек верификатора.

Эксплойт затронул смарт-контракты в сетях Ethereum и Base, обнулив 24,28 трлн токенов FOOM, из которых около $427 тыс. были получены неправомерно, а примерно $1,83 млн благодаря действиям “белых хакеров”.

Организации по кибербезопасности установили, что корнем проблемы стала ошибочная конфигурация системы проверки Groth16, что позволило многократно выводить активы.

Foom.Cash, форк конфиденциальности на блокчейне Ethereum, позиционирующий себя как усовершенствованная версия подсанкционного миксера Tornado Cash, по сообщениям, потерял около $2,26 млн в токенах из-за уязвимости в системе криптографической проверки, о чем предупредили несколько аналитических агентств.

Атака, затронувшая контракты в Ethereum и Base, привела к утрате 24 283 773 519 600 токенов FOOM, основного актива платформы. Исследователи безопасности отметили, что этот эксплойт почти в точности повторяет уязвимость, обнаруженную на другом протоколе несколькими днями ранее.

Одна транзакция в сети Base обернулась убытком порядка $427 000, который относят на счет прямого эксплуататора. Транзакции на Ethereum на сумму около $1,83 млн, судя по всему, были предприняты в рамках спасательной операции “белых капелюшников”.

Как случилась брешь?

GoPlus Security, сеть безопасности Web3, курируемая BinanceLabs, зафиксировала инцидент, указав, что неточность в настройках ключа верификации дала возможность мошеннику подделать верификационные записи zkSNARK. Это позволило сфабриковать криптографические полномочия, принятые протоколом как легитимные, и таким образом вывести значительное количество токенов из скомпрометированных контрактов.

Сertik, фирма по безопасности блокчейна, написала в своем аккаунте X: “Основная причина, вероятно, кроется в настройке delta2==gamma2 для верификатора Groth16 по адресу 0xc043865fb4D542E2bc5ed5Ed9A2F0939965671A6. Это дает возможность эксплуататору рассчитывать ‘pC’, необходимые для различных ‘nullifierHash’, при сохранении всех прочих входных данных неизменными, что позволяет многократно забирать токены ZOOM”.

Проще говоря, протокол, который активно продвигал практически неприступность своих криптографических барьеров, был скомпрометирован из-за ошибки в конфигурации.

Система мониторинга Phalcon от BlockSec, отслеживавшая подозрительную активность в обеих сетях в реальном времени, сообщила, что инцидент выглядит как скопированная атака. Компания подчеркнула, что в основе применялась та же самая первопричина, что была выявлена при недавнем взломе Veil Cash.

Следует отметить, что инцидент с Veil Cash был менее масштабным, и потери там составили небольшое количество ETH, предположительно 2,9 ETH.

Что представляет собой Foom.Cash?

Foom.Cash позиционирует себя как “приватный лотерейный протокол на основе ZKProof”, который сочетает анонимность Zcash (работающей как отдельный приватный блокчейн), функциональность DeFi-экосистемы Ethereum и встроенный механизм случайного вознаграждения.

Его называют усовершенствованием Tornado Cash и альтернативой Zcash для сети Ethereum. Tornado Cash был подвергнут санкциям Минфина США в 2022 году, однако в марте 2025 года ведомство сняло ограничения с платформы.

По данным представителей проекта, они обрабатывают больше ежедневных операций, чем Tornado Cash, обладают ликвидностью свыше восьми миллионов долларов и обеспечивают поставщикам ликвидности годовую доходность от 50 до 80% .

Тема конфиденциальности в DeFi вновь набирает популярность: Zcash показал заметный рост стоимости в последние месяцы, и Foom.Cash пытался извлечь выгоду из этого тренда, предлагая анонимность в рамках существующей Ethereum-инфраструктуры.

Платформа задействует специфическую модификацию zkSNARKs, являющуюся ключевым компонентом, который обеспечивает приватность в признанных протоколах, таких как Zcash.

Какие шаги предпринимает Foom.Cash для возврата средств и ликвидации уязвимости?