Взломщик лишил DeFi-протокол xToken $25 млн

Злодей вывел из протокола децентрализованного финансирования xToken активы стоимость около $25 млн.

Our initial report on today's exploit. More details in the coming days.https://t.co/ZadHCUTqEK

— xToken (@xtokenmarket) May 12, 2021

По словам разрабов проекта, атака произошла 12 мая в 17:44 по столичному времени. Спецы увидели «расхождения в стоимости и предложении» приблизительно через 10 минут опосля ее начала и остановили работу смарт-контрактов.

Неведомый немедля опустошил пулы ликвидности xBNTa и xSNXa. Токены BNT и SNX остались в договорах xToken. Взломщик извлек 416 ETH из договора xSNX, так как он хранит Ethereum в рамках стратегии хеджирования долга.

Пулы ликвидности Bancor и Balancer утратили активы стоимостью около $25 млн.

Злодей взял моментальный займ в размере 61 800 ETH, а потом применил два эксплойта:

  • неведомый употреблял криптовалюту для манипуляций с оракулом Kyber Network, предоставляющим блокчейну данные о стоимости SNX. Ему удалось выпустить огромное количество синтетических токенов, которые потом были конвертированы в ETH и SNX;
  • так как xBNT — «обернутый» токен, для его выпуска нужно внести залог конкретно в BNT. Но смарт-контракт xToken не инспектировал эту зависимость. Благодаря уязвимости взломщик употреблял наиболее дешевенькие токены SPD.

По воззрению аналитика TheBlock Игоря Игамбердиева, факт одновременного использования 2-ух уязвимостей и скорость атаки указывают на вероятное роль людей, близких к разработке проекта.

1/9

Another DeFi protocol xToken was exploited today and almost $25 million was stolen.

The attacker was smart enough (or close enough to this project) to use two different exploits for two projects’ tokens.👇 pic.twitter.com/cCmOu1hj9g

— Igor Igamberdiev (@FrankResearcher) May 12, 2021

По данным TheBlock, взломщик присвоил 2400 ETH, 781 000 BNT, 407 000 SNX и 1,9 миллиардов xBTNa. Все токены кроме xBNTa были проданы за 5600 ETH.

Сначала мая злодей штурмовал DeFi-проект Spartan Protocol и вывел из его пулов ликвидности около $30 млн. Он также употреблял секундные займы.

В апреле лендинговый протокол EasyFi растерял $6 млн. Хакеры получили удаленный доступ к компу и кошельку MetaMask основоположника проекта Анкитта Гаура.

Подписывайтесь на BitNovosti в Telegram.

Author: Anonim