Пратакол аўтаматызацыі прыбытковасці на Arbitrum быў выкарыстаны ў мінулыя выхадныя ў выніку інцыдэнту, які росту хакерскі баланс іх стейблкойна Sperax (USDS) у доларах ЗША.
Але ў павароце сюжэта каманда заявіла, што ў аўторак усе сродкі былі вернуты - паказваючы на $300,000 XNUMX USDC здзелка — і што Sperax неўзабаве прадаставіць графік аднаўлення пераводаў SperaxUSD.
«Гібрыдны» стейблкойн, які ўпершыню паведаміў сваім карыстальнікам аб атацы ў нядзелю, апублікаваў справаздачу позна ў панядзелак з падрабязным апісаннем таго, што адбылося.
Хаця ў сваім дакладзе SperaxUSD называе чалавека «зламыснікам», каманда асобна паведаміла ў твітары, што чалавек, звязаны з адрасам, «не хакер», і абавязваецца не прадпрымаць ніякіх дзеянняў у выпадку вяртання сродкаў.
Каманда заявіла, што эксплуататар скарыстаўся ўнутранай памылкай у кантракце токена USDS, каб змяніць баланс да 9.7 мільярда на кашальку з некалькімі падпіскамі.
Перш чым каманда змагла заблакаваць кантракт, зламыснік паспеў абмяняць каля 309,000 XNUMX долараў ЗША на USDT, USDC і WETH.
SperaxUSD паведаміў, што 13 снежня ён абнавіў кантракт на токены, каб выправіць праблему ў разліку балансаў, якая выклікала несумяшчальнасць з DEX.
Эксплойт пачаўся з таго, што зламыснік адправіў сродкі на адрас Gnosis Safe, кашалёк смарт-кантрактаў з некалькімі подпісамі, што выклікала памылку ў кантракце токена USDs. Так баланс падскочыў да 9.7 мільярда токенаў.
Затым зламыснік пачаў прадаваць даляры ЗША на Arbitrum, верагодна, па 10,000 XNUMX за раз. Прыкладна праз тры гадзіны пасля атакі каманда SperaxUSD змагла прыпыніць дзеянне.
Трымальнікі токенаў USDs маюць два тыпу токенаў: з перабазіраваннем (дзе прапанова карэктуецца для кантролю цаны) і без перабазіравання. Гэта азначае, што баланс у доларах ЗША трымальніка перабазіравання аўтаматычна павялічваецца пасля перабазіравання, якое запускаецца штотыдзень.
«Нягледзячы на тое, што ўсе кантракты, якія мы распрацоўваем, праходзяць некалькі раундаў праверкі і дбайнага тэсціравання, мы ўсё роўна прапусцілі гэты крайні выпадак. Мы лічым, што зламыснік проста эксперыментаваў з кантрактам, паколькі мадэрнізаваны код не апублікаваны, аднак ён/яна выявілі новую памылку, сітуацыя магла быць яшчэ горшай (калі б гэта было запланавана)», — заявіла каманда.
Кожны вечар атрымлівайце на вашу электронную пошту галоўныя навіны дня і інфармацыю пра крыптаграфію. Падпішыцеся на бясплатную рассылку ад Blockworks цяпер.
Хочаце, каб альфа-версія была адпраўлена непасрэдна ў вашу паштовую скрыню? Атрымлівайце ад Штодзённае падвядзенне вынікаў Blockworks Research.
Не магу дачакацца? Атрымлівайце нашы навіны самым хуткім спосабам. Далучайцеся да нас у Telegram і вынікайце за намі на Google News.
Крыніца: https://blockworks.co/news/arbitrum-stablecoin-exploit-happy-ending