Протокол автоматизації прибутку на Arbitrum був використаний минулих вихідних під час інциденту, який росту хакерський баланс їх стейблкоїна Sperax (USDS) у доларах США.
Але в повороті сюжету команда заявила у вівторок, що всі кошти повернуто, вказуючи на $300,000 XNUMX USDC угода — і що Sperax незабаром надасть графік відновлення переказів SperaxUSD.
«Гібридний» стейблкойн, який вперше сповістив своїх користувачів про атаку в неділю, опублікував звіт увечері в понеділок, у якому детально описано, що сталося.
Хоча у своєму звіті SperaxUSD називає цю особу «зловмисником», команда в окремому твіті зазначила, що особа, пов’язана з адресою, «не хакер”, і зобов’язався не вживати жодних дій у разі повернення коштів.
Команда повідомила, що експлуататор скористався внутрішньою помилкою в контракті на токени USDS, щоб змінити баланс до 9.7 мільярда на гаманці з кількома підписами.
Перш ніж команда змогла заблокувати контракт, зловмиснику вдалося обміняти близько 309,000 XNUMX доларів США на USDT, USDC і WETH.
SperaxUSD повідомила, що 13 грудня вона оновила контракт на токени, щоб усунути проблему під час розрахунку балансів, яка спричинила несумісність із DEX.
Експлойт почався з того, що зловмисник відправив кошти на безпечну адресу Gnosis, гаманця смарт-контракту з кількома підписами, що спричинило помилку в контракті токенів USD. Таким чином баланс підскочив до 9.7 млрд токенів.
Потім зловмисник почав продавати долари США на Arbitrum, ймовірно, по 10,000 XNUMX за раз. Приблизно через три години після атаки команда SperaxUSD змогла призупинити дію.
Власники токенів USDs мають два типи токенів: ребазування (де пропозиція коригується для контролю ціни) і неребазування. Це означає, що баланс у доларах США власника перебазування автоматично збільшується після перебазування, яке запускається щотижня.
«Незважаючи на те, що всі контракти, які ми розробляємо, проходять кілька раундів перевірок і ретельного тестування, ми все одно пропустили цей крайовий випадок. Ми вважаємо, що зловмисник просто експериментував із контрактом, оскільки оновлений код не опубліковано, однак він/вона таки виявив нову помилку, ситуація могла бути ще гіршою (якби це було заплановано)», – повідомила команда.
Щовечора отримуйте на свою електронну пошту головні новини та статистику дня про криптовалюту. Підпишіться на безкоштовну розсилку Blockworks зараз.
Хочете, щоб альфа-версія надсилалася безпосередньо у вашу папку "Вхідні"? Отримуйте ідеї торгівлі Degen, оновлення управління, продуктивність токенів, твіти, які не можна пропустити, тощо від Щоденний звіт Blockworks Research.
не можете дочекатися? Отримуйте наші новини найшвидшим способом. Приєднуйтесь до нас на Telegram і слідуйте за нами на Новини Google.
Джерело: https://blockworks.co/news/arbitrum-stablecoin-exploit-happy-ending