Платформа ликвидного стейкинга Prisma Finance потеряла 3257 ETH (~$11 млн) в результате эксплойта 28 марта. Хакер вступил в переписку с командой по поводу возврата средств.
Согласно результатам расследования, взломщик эксплуатировал два смарт-контракта, предназначенных для переноса позиций пользователей от одного менеджера продукта Trove к другому.
«Инцидент стал возможен из-за недостаточной проверки входных данных в функции onFlashloan, что позволило манипулировать сведениями и реализовать непредусмотренное поведение контракта», — пояснили разработчики.
Помимо основной суммы в 3257 ETH два других пользователя вывели таким образом еще ~121 wstETH и ~ 52 wstETH соответственно, следует из пояснения.
В целях безопасности команда напомнила клиентам о необходимости отозвать одобрение на делегирование активов.
«Помимо возврата украденных средств, главным приоритетом Prisma является возобновление работы протокола и его возрождение. Важнейшим шагом, необходимым для завершения паузы, является обеспечение безопасности всех кошельков и позиций пользователей», — написал ключевой разработчик под ником Frank.
На 31 марта под угрозой потери средств оставалось 14 аккаунтов с открытым одобрением, пять кошельков при этом «рисковали» активами на сумму примерно $500 000.
Frank внес на рассмотрение сообщества Prisma предложение о временном сокращении распределения комиссий долей в 50% вместо 100%. Целью является аккумуляция средств на восстановление работы платформы. Он признал, что сроки выхода из этой ситуации остаются неопределенными.
Тем временем взломщик Prisma сразу после инцидента вступил в переписку с командой, предложив возврат выведенных активов.
Однако предварительно он попросил ответить на ряд вопросов касательно понимания разработчиками концепции смарт-контрактов, необходимости аудита и их обязанностей в случае инцидентов, подобных случившемуся.
В Prisma признали, что часть кода последнего обновления не проходила проверку сторонних экспертов и попросили хакера вернуть средства без условий. Последний в ответ обвинил команду в неискренности и предположил, что уязвимость была заложена преднамеренно.
По мнению разработчика под ником Tokenbrice, хакер резонно обратил внимание на некоторые аспекты:
команда Prisma самостоятельно затеяла миграцию позиций пользователей в Trove, не предусмотренную первоначальными планами развертывания протокола;
опытные разработчики не отдали часть кода обновления на аудит, который, как правило, используется для снятия ответственности (по большей части);
они игнорировали требования деанона от хакера, как и другие его вопросы.
Напомним, специалисты PeckShield обнаружили, что взломщик Prisma начал отправлять активы в криптомиксер Tornado Cash, несмотря на заявление о возможности возврата.
