Уласны пратакол стейблкойнаў Polygon QiDAO сутыкнуўся з эксплойтам у сваім кантракце перадачы Superfluid, што прывяло да падзення цаны токена кіравання QI на 65%. Цана QI знізілася з $1.24 да $0.18.
QiDAO прыняў да Twitter у аўторак, каб прызнаць эксплойт па кантракце аб надзяленні Superfluid, але запэўніў, што сродкі карыстальнікаў знаходзяцца ў бяспецы і ніякія сродкі з QiDAO не пацярпелі. Superfluid таксама пацвердзіў эксплойт на QiDAO і сказаў, што яны расследуюць сітуацыю і будуць абнаўляць адпаведным чынам. Пратакол дазваляе карыстальнікам пастаянна перамяшчаць актывы ў ланцужку ў рэжыме рэальнага часу з аднаго кашалька ў іншы.
Сёння ў 6.48 раніцы па Грынвічы мы атрымалі апавяшчэнне аб патэнцыйным эксплойце кантракта аб надзяленні QiDAO, які выкарыстоўвае код Superfluid. Мы расследуем інцыдэнт і будзем інфармаваць вас у гэтай тэме і на нашым серверы Discord.
— Звышцякучы (@Superfluid_HQ) Люты 8, 2022
Нягледзячы на тое, што сродкі карыстальніка не паўплывалі, хакерам, якія стаялі за атакай, удалося атрымаць токены на 20 мільёнаў долараў, у тым ліку 24 WETH, 562,000 44 USDC, 1.5 SDT, 23,000 мільёна MOCA, 40,000 3 STACK і амаль XNUMX XNUMX sdamXNUMXCRV. Ранняя інфармацыя сведчыць аб тым, што выкрадзеныя сродкі належалі некаторым з першых прыхільнікаў праекта, а таксама ўключалі токены, надзеленыя камандай.
Крыптааналітычная група SlowMist стварыла трэкер сродкаў з балансам кожнага скрадзенага токена. Пасля аналізу дадзеных аб транзакцыях кашалька яны падлічылі, што хакерам удалося выкрасці крыптавалюты на суму каля 13 мільёнаў долараў.
Хакеры, якія стаялі за гэтай атакай, пачалі скідаць скрадзены QiDAO на Quickswap DEX з высокім праслізгваннем, што прывяло да зніжэння цаны токена кіравання на 65%. Супольнасць Polygon скарысталася магчымасцю, каб купіць падзенне, якое ўжо дапамагло токен кіравання дасягнуць 0.6 даляра пасля падзення ніжэй за 0.18 даляра. Важна адзначыць, што эксплойт быў зроблены з выкарыстаннем уразлівасці ў Superfluid, і QiDAO не быў выкарыстаны.
Кантракт для $ QI у звышцякучым рэжыме быў выкарыстаны (выкарыстоўваюцца толькі сродкі ранніх інвестараў, заблакіраваных) Усе сховішчы ў бяспецы. Сродкі сафу
Купіў падзенне/эксплойт, моцную каманду + моцныя асновы, куплю ўвесь чортавы пул, калі б не праблема з ліквіднасцю. https://t.co/NDBm3cNzxo
- Джаспер (@JunHao_yo) Люты 8, 2022
QiDAO часова прыпыніў працу свайго моста пасля эксплойта і спадзяваўся вырашыць праблему ў бліжэйшы час. Эксплойт з'явіўся на працягу 24 гадзін пасля збору Polygons 450 мільёнаў долараў, аднак суполка прадэманстравала велізарную падтрымку ўласнага пратаколу стейблкойна і падкрэсліла, што гэта звязана з уразлівасцю трэцяга боку, а не з-за праблемы з пратаколам стейблкойна.
Крыніца: https://cointelegraph.com/news/polygon-stablecoin-qidao-exploited-for-13m-on-superfluid-vested-contract