Протокол децентрализованной стабильной монеты в долларах США Raft утверждает, что несмотря на несколько проверок безопасности, фирма все равно столкнулась с эксплуатацией безопасности, приведшей к потере $6,7 миллиона на прошлой неделе.
Согласно пост-мортему проекта от 13 ноября отчета, несколько дней назад хакер занял 6 000 обернутых в Coinbase стейкнутых Эфиров (cbETH) на децентрализованном финансовом протоколе Aave, перевел сумму на Raft и выпустил 6,7 миллиона стабильной монеты Raft, названной “R”, используя ошибку в смарт-контракте.
Несанкционированные выпущенные средства затем были обменены на платформе через пулы ликвидности на децентрализованных биржах Balancer и Uniswap, принеся $3,6 миллиона дохода. Стабильная монета R отклонилась после атаки.
Согласно отчету:
“Основной причиной была проблема точного вычисления при выпуске долей токенов, что позволило эксплуататору получить дополнительные доли токенов. Атакующий использовал усиленное значение индекса, чтобы увеличить стоимость своих долей.”
Смарт-контракты, использованные во время инцидента, были проверены блокчейн-безопасностными фирмами Trail of Bits и Hats Finance. “К сожалению, уязвимости, приведшие к инциденту, не были обнаружены в этих проверках”, – написали разработчики Raft.
Проект говорит, что с момента инцидента 10 ноября он подал полицейское заявление и в настоящее время работает с централизованными биржами, чтобы отследить поток украденных средств. Все смарт-контракты Raft в настоящее время приостановлены, хотя пользователи, выпустившие R, “сохраняют возможность погасить свои позиции и извлечь свое обеспечение”.
Децентрализованные стабильные монеты выпускаются с использованием криптовалютных депозитов пользователей в качестве залога. В прошлом декабре децентрализованная стабильная монета HAY отклонилась от доллара США после того, как хакер воспользовался ошибкой в смарт-контракте и выпустил 16 миллионов HAY без должного обеспечения. Стабильная монета HAY с тех пор снова привязалась, в частности, благодаря тому, что протокол требует коэффициент обеспеченности в размере 152% на момент эксплуатации в рамках управления рисками.
Мы знаем о потенциальной уязвимости безопасности.
В настоящее время мы проводим расследование и предоставим обновление, как только сможем.
— Raft (@raft_fi) 10 ноября 2023 г.