Технологии Криптовалют

Агрегатор DeFi подвергся нападению пяти хакеров в день запуска

У нового протокола децентрализованного финансирования ForceDAO был тяжелый старт: через несколько часов после его запуска произошло несколько вторжений со стороны хакеров.

Агрегатор доходности на основе Ethereum только что запустил свою кампанию аирдропа 3 апреля, когда четырем злонамеренным хакерам удалось вывести в общей сложности 183 ETH на сумму примерно 367 000 долларов на тот момент. Один дружелюбный хакер «в белой шляпе» также помог команде, предупредив их, чтобы предотвратить дальнейшие потери.

Команда опубликовала вскрытие атак и взяла на себя ответственность за то, что она назвала «инженерным надзором».

После вторжения команда приняла решение перевести 60 миллионов токенов FORCE из казначейского кошелька с мультиподписью в кошелек развертывателя, чтобы создать и провести три голосования, которые фактически сожгут балансы FORCE на трех адресах хакеров.

Вскрытие объяснило, что затронутая платформа xFORCE была развилкой Суши смарт-контракт, содержащий механизм возврата токенов в случае неудачных транзакций. Протокол описывает xFORCE как «приносящую проценты» версию FORCE, представляющую доли в своих пулах, аналогично тому, как работают токены LP.

Ошибка в контракте, используемом ForceDAO, позволила злоумышленникам использовать этот механизм для чеканки токенов xFORCE, которые затем были изъяты и обменены на ETH на рынках. Команда признала, что атаку было относительно легко предотвратить.

«Этого можно было избежать, используя стандартный Open Zeppelin ERC-20 или добавив оболочку safeTransferFrom в контракт xSUSHI».

Он добавил, что взлом в настоящее время расследуется, поскольку некоторые из адресов были получены с популярных бирж FTX и Binance. Будет сделан снимок, и проект будет повторно запущен с новым токеном xFORCE, добавил он.

После запуска и раздачи цены на токены FORCE выросли до более чем 2 долларов 4 апреля, но с тех пор упали более чем на 95% до 0,05 доллара на момент написания.