Protokol na automatizáciu výnosov na Arbitrum bol zneužitý cez víkend pri incidente, ktorý posilnený hackerov zostatok ich stablecoinu v amerických dolároch Sperax (USDS).
Ale v zápletke tím v utorok povedal, že všetky prostriedky boli vrátené – poukazujúc na 300,000 XNUMX USDC transakcie — a že Sperax čoskoro poskytne časovú os na obnovenie prevodov SperaxUSD.
„Hybridný“ stablecoin, ktorý prvýkrát informoval svojich používateľov o útoku v nedeľu, zverejnil v pondelok neskoro večer správu s podrobnosťami o tom, čo sa stalo.
Hoci vo svojej správe SperaxUSD túto osobu nazýva „útočníkom“, tím samostatne v tweete uviedol, že osoba spojená s adresou je „nie hacker“ a že sa zaviazala, že v prípade vrátenia finančných prostriedkov nepodnikne žiadne kroky.
Tím uviedol, že vykorisťovateľ využil internú chybu v zmluve o tokenoch USDS na zmenu zostatku na 9.7 miliardy na multi-sig peňaženke.
Predtým, ako tím mohol zablokovať zmluvu, útočníkovi sa podarilo vymeniť približne 309,000 XNUMX USD za USDT, USDC a WETH.
Spoločnosť SperaxUSD uviedla, že 13. decembra aktualizovala tokenovú zmluvu, aby napravila problém vo výpočte zostatkov, ktorý spôsobil nekompatibilitu s DEX.
Zneužitie začalo tým, že útočník poslal prostriedky na adresu Gnosis Safe, peňaženku s inteligentnou zmluvou s viacerými podpismi, čo vyvolalo chybu v zmluve o tokenoch USD. Takto zostatok vyskočil na 9.7 miliardy tokenov.
Útočník potom začal predávať USD na Arbitrum, pravdepodobne 10,000 XNUMX naraz. Asi tri hodiny po útoku sa tímu SperaxUSD podarilo akciu prerušiť.
Držitelia tokenu USD majú dva typy tokenov: rebasing (kde je ponuka upravená tak, aby regulovala cenu) a non-rebaseing. To znamená, že zostatok v USD držiteľa zmeny bázy sa automaticky zvýši po zmene bázy, ktorá sa spúšťa týždenne.
„Aj keď všetky zmluvy, ktoré vyvíjame, prechádzajú viacerými kolami kontrol a dôkladným testovaním, stále nám chýba tento okrajový prípad. Máme pocit, že útočník iba experimentoval so zmluvou, pretože aktualizovaný kód nie je zverejnený, ale odhalil novú chybu, mohla to byť ešte horšia situácia (ak by bola plánovaná),“ uviedol tím.
Získajte najlepšie denné kryptografické správy a štatistiky každý večer na svoj e-mail. Prihláste sa na odber bezplatného bulletinu Blockworks teraz.
Chcete posielať alfa verziu priamo do vašej doručenej pošty? Získajte nápady degen trade, aktualizácie správy, výkon tokenov, neprehliadnuteľné tweety a ďalšie Denný prehľad Blockworks Research.
Neviete sa dočkať? Získajte naše novinky najrýchlejším možným spôsobom. Pripojte sa k nám na telegrame a postupujte podľa nás Správy Google.
Zdroj: https://blockworks.co/news/arbitrum-stablecoin-exploit-happy-ending