Spis treści
Projekt xToken został zhakowany po raz drugi w ciągu roku.
Atakujący odkryli lukę w inteligentnym kontrakcie xSNX i ukradli tokeny o wartości 4,5 miliona dolarów. Produkt xSNX projektu xToken umożliwia użytkownikom dostęp do zasobów opartych na Synthetix bez konieczności interakcji ze złożonymi smart kontraktami platformy. Po włamaniu programiści xToken ogłosili, że usuną dostęp do produktu xSNX.
Our xSNX contract was exploited. Our other contracts do not have similar vulnerabilities.
Every day going forward from here will be focused on rebuilding trust with our community.
We're assessing the situation and will update with next steps in the coming hours
— xToken (@xtokenmarket) August 29, 2021
Aby przeprowadzić włamanie, atakujący zaciągnął natychmiastową pożyczkę na zdecentralizowanej giełdzie dYdX w wysokości 25 000 ETH (81 mln USD) i wykorzystał te środki jako zabezpieczenie w celu uzyskania 1,5 mln tokenów SNX za pośrednictwem protokołów Aave i Bancor. Tokeny zostały wymienione na 6,5 mln USDC za pośrednictwem DEX Kyber, co wywarło silną presję na cenę SNX. Atakujący wymienił następnie UDSC na tokeny sUSD oparte na Synthetix, które zostały wykorzystane do zakupu 614 000 SNX w puli xToken za 811 000 sUSD. Tym samym haker otrzymał tokeny SNX o wartości ponad 7 milionów dolarów.
Zespół xToken stwierdził, że nie znaleziono podobnych luk w innych produktach platformy. Kontrakty xSNX są najbardziej złożone na platformie, a w obecnej implementacji produktu występuje zbyt wiele zależności, co stanowi podstawę dla różnych podatności. Dlatego postanowiono zamknąć ten produkt.
„Każdego dnia będziemy poświęcać się przywróceniu zaufania społeczności do naszej platformy” – podkreślają deweloperzy.
Cream Finance został zaatakowany i stracił 18 milionów dolarów w Ethereum.
Według twórców oszuści zdołali ukrasć 418 311 571 tokenów AMP i 1 308,09 Ethereum. Popularny blogger w społeczności krypto, Mr. Whale uważa, że tak naprawdę nie było włamania do Cream Finance. Jego zdaniem przedstawiciele projektu zakryli się włamaniem, aby zatrzeć ślady exit scamu. Wielu internautów zgodziło się z Mr Whale.
Cream Finance was attacked by a flash loan and lost approximately US$18 million. https://t.co/Do6xvbQ7r5
— Wu Blockchain (@WuBlockchain) August 30, 2021
Podobno było dwóch hakerów, w sumie 17 transakcji. Model ataku bardzo podobny do tego typu hacków na DeFi. Specjaliści ds. bezpieczeństwa Blockchain PeckShield Inc. twierdzą, że zidentyfikowali przyczynę włamania i zaoferowali pomoc programistom Cream Finance.
C.R.E.A.M. v1 market on Ethereum has suffered an exploit, resulting in a loss of 418,311,571 in AMP and 1,308.09 in ETH, by way of reentrancy on the AMP token contract.
We have stopped the exploit by pausing supply and borrow on AMP. No other markets were affected.
— Cream Finance 🍦 (@CreamdotFinance) August 30, 2021
Przedstawiciele projektu Cream finance nie skomentowali jeszcze incydentu.
Comments (No)