Неизвестный вывел из пулов ликвидности DeFi-проекта Indexed Finance активы на сумму около $16 млн. Разработчики сообщили, что хакер воспользовался уязвимостью в механизме ребалансировки.
Indexed Attack Post-Mortem:https://t.co/ASWB8PlcU0
— Indexed Finance (@ndxfi) October 15, 2021
Indexed Finance предлагает пользователям доступ к цифровым индексам, ориентированным на криптовалютную индустрию. Эти инструменты представляют собой токены стандарта ERC-20, размещенные в пулах ликвидности под управлением «форка протокола Balancer». Для расчета процентного соотношения, цен и динамики активов проект использует оракул Uniswap.
По словам разработчиков, атака затронула два индекса — DEFI5 и CC10. Для ее реализации злоумышленник воспользовался мгновенными займами.
На момент атаки пул DEFI5 был готов к переиндексации, поскольку любой пользователь может запустить ее после трех ребалансировок, происходящих раз в неделю. Нативный токен Uniswap (UNI) был первым «инициализированным» (баланс токена соответствует его весу) активом, подходящим для оценки приблизительной стоимости всего пула.
Хакер добавил в пул нативный токен протокола SushiSwap (SUSHI) — в ходе переиндексации механизм Indexed Finance позволил установить минимальный баланс для актива в размере 11 926 SUSHI (~$126 000 на момент атаки).
Далее злоумышленник воспользовался функцией мгновенных займов на SushiSwap и Uniswap V2. Он получил токены UNI, AAVE, COMP, CRV, MKR и SNX совокупной стоимостью $156 млн и внес их в пул DEFI5. Все эти активы являются инициализированными.
Заимствованные активы хакер использовал для покупки UNI у пула. Из-за нативных ограничений Indexed Finance сделку пришлось разбить на несколько транзакций.
После того, как хакер приобрел практически все токены UNI, он обновил контракт контроля индексов, который отслеживает стоимость токенов в пуле и устанавливает «цели портфеля». Поскольку баланс UNI был очень низким, протокол посчитал, что приблизительная стоимость пула равна 29 851 SUSHI (~$300 000), хотя он получил активы на сумму более $100 млн.
Приобретенные хакером UNI были использованы для эмиссии токенов DEFI5. Заимствованные SUSHI злоумышленник также направил на эти цели (выпуск проходил по завышенной оценке). Манипуляции он повторил несколько раз.
После этого он погасил мгновенные займы и получил активы на сумму около $11 млн. Атака на пул CC10 выполнена аналогичным образом. Из него он извлек порядка $5 млн.
В Indexed Finance назвали инцидент «разрушительным» для проекта и отметили, что знают, как закрыть уязвимость. Команде также предложили помощь «уважаемые Ethereum-разработчики».
Администрация проекта обсудит с сообществом процесс компенсации средств потерпевшим. Она запросит консультации у протоколов, побывавших в схожих ситуациях.
Напомним, в сентябре неизвестный взломал лендинговую платформу Vee.Finance и вывел токенизированные биткоины и Ethereum на общую сумму около $35 млн.
Источник
