Взломанная криптоплатформа предлагает награду в размере $10 миллионов за украденные средства. Эксплойт является одним из растущего числа инцидентов взлома проектов DeFi за последние месяцы.

Криптоплатформа Fei Protocol надеется, что вознаграждение в размере 10 миллионов долларов “без вопросов” побудит хакеров вернуть почти 80 миллионов долларов цифровых активов, украденных за выходные.

Fei, эмитент стейблкоинов, который всего пять месяцев назад объединился со стартапом крипто-кредитования Rari Capital, сделал заявление в Twitter через несколько часов после того, как в субботу был обнаружен эксплойт, с помощью которого хакеры проникли в кредитные пулы платформы.

“Нам известно об эксплойте в различных пулах Rari Fuse. Мы определили первопричину и приостановили все заимствования, чтобы смягчить дальнейший ущерб, — написал Fei Protocol. — Хакеру: пожалуйста, примите вознаграждение и никаких вопросов, если вы вернете оставшиеся средства пользователя”.

Хакер использовал критическую ошибку “повторного входа”, скрытую глубоко в коде протокола. Эти ошибки связаны с тем, что смарт-контракты звонят друг другу для перевода средств без соответствующих проверок. Для своей кодовой базы Fei разветвила (читай: скопировала) платформу денежного рынка Ethereum Compound в начале 2021 года. Fei внесла определенные изменения в код, однако, несмотря на проверки, недостаток не был обнаружен, пока не стало слишком поздно.

Составные форки в прошлом постигла та же участь. Rari даже заплатила 2 миллиона долларов исследователям безопасности, которые в марте обнаружили почти идентичный недостаток. Децентрализованная биржа Uniswap, платформа DeFi Cream Finance и Dao, среди других проектов, стали жертвами повторных атак, начиная с 2016 года. Rari также потеряла 11 миллионов долларов из-за хакеров смарт-контрактов в результате несвязанной атаки в мае прошлого года, то есть около 60% капитала протокола.

В этом случае кредитные пулы Rari Fuse (которые облегчают кредитование связанных токенов ERC-20) фактически не смогли отследить, сколько криптовалют было заимствовано. По словам аудитора смарт-контрактов CertiK, установка незаконно допускала заимствование больших сумм криптовалюты, изъятие залога по кредиту и удержание заемных средств.

Планы по спасению пока не объявлены

Позже Rari Capital сообщила, что еще 100 ETH были взломаны в воскресенье из пула Fuse на платформе Ethereum уровня 2 Arbitrumum. Технический директор BlockSec Лей Ву подтвердил Blockworks, что 5400 ETH из украденного тайника были отправлены на крипто-миксер Tornado Cash. Украденные средства, по сути, принадлежат пользователям Rari Fuse, которые одолжили свою криптовалюту. Имея это в виду, протокол Fei не совсем жертва — несмотря на эксплойт, нацеленный на его исходный код.

Разработчик Rari Джек Лонгарзо сказал Blockworks, что настоящими жертвами являются платформа Rari Fuse и Tribe DAO, который управляет Fei и Rari. На самом деле, Tribe DAO может решить, стоит ли высвобождать средства из своей казны, чтобы возместить пользователям Rari Fuse. По данным OpenOrgs, его казна в настоящее время составляет 104 миллиона долларов.

Хотя официального предложения по спасению пока нет (и Лонгарзо не стал бы комментировать, находится ли оно в разработке), такой шаг резко контрастировал бы с финансируемыми венчурным капиталом спасениями других сражающихся платформ DeFi, таких как Wormhole и Ronin, которые, как правило, предполагали более централизованное и частное принятие решений, чем голосование сообщества.

Но есть некоторые признаки того, что участники Tribe DAO, возможно, теряют веру. Собственный токен DAO, TRIBE, снизился на 20% с момента первого раскрытия атаки.

ru Русский