Последний эксплойт моста DeFi приводит к убыткам Meter в размере 4,4 миллиона долларов

Платформа токена Meter Passport понесла убытки в размере 4,4 миллиона долларов из-за взлома смарт-контракта, в результате которого Hundred Finance также потеряла 3,3 миллиона долларов из-за кредитов с недостаточным обеспечением.

Meter Passport (MTRG) от Meter.io — это токен-мост, совместимый с Ethereum и его сайдчейнами. Эта атака затронула сторону моста со стороны Лунной реки.

Moonriver — это платформа смарт-контрактов, основанная на сети Kusama от Polkadot. Hundred Finance — это платформа кредитования криптовалюты, основанная на коде Compound Finance.

Согласно заявлению Meter от 6 февраля, начиная с 14:00 по всемирному координированному времени 5 февраля и в ходе нескольких транзакций, около 4,4 миллиона долларов в Binance Coin (BNB) и wETH были отчеканены из-за «неправильного предположения о доверии» в коде. команда. В этом случае произвольное количество ETH было депонировано в Meter, которое хакер использовал для чеканки токенов, используя уязвимость.

1. Около 6 утра по тихоокеанскому времени мы обнаружили, что кто-то смог использовать уязвимость моста, чтобы отчеканить большое количество токенов BNB и WETH и исчерпал резерв моста для BNB на WETH.— ⚡️Meter.io⚡️ (@Meter_IO) 5 февраля., 2022 г.

Атака вызвала каскадный эффект в экосистеме Moonriver, расположенной в Кусаме. После истощения запасов BNB и wETH в Meter злоумышленник продал BNB на популярной децентрализованной бирже SushiSwap. В то время это привело к падению цены BNB на Moonriver на 77%.

Затем ряд оппортунистов воспользовались падением цен, купив дешевые BNB. Они использовали токены в качестве залога в Hundred Finance, чтобы брать кредиты в стейблкоинах FRAX и MIM. Однако из-за расхождения в цене BNB их кредиты стоили больше, чем предоставленный ими залог, что вызвало кризис предложения.

2/4. Учетные записи могли приобрести BNB.bsc по сниженной цене и использовать эти токены в качестве залога по глобальной цене Chainlink для заимствования бескомпромиссных активов на нашей платформе. Из них в настоящее время затронуты MIM и FRAX.— Hundred Finance (@HundredFinance) 6 февраля 2022 г.

Удивительно, но два кредита были погашены, в результате чего протоколу Сотни остались непогашенные убытки в размере 3,3 миллиона долларов. Команда Hundred попыталась связаться с вовлеченными сторонами, чтобы попросить их вернуть токены BNB, используемые в качестве залога для Meter.

Команда Meter взяла на себя обязательство возместить своему сообществу и Hundred Finance убытки, понесенные в результате взлома.6 февраля команда заявила, что выделила 4,4 миллиона долларов в токенах MTRG для покрытия первоначальных убытков.

«Вфат», псевдоним основателя Hundred Finance, заявил в заявлении Rekt News от 6 февраля, что:

«Конечно, Meter взял на себя ответственность за этот взлом и намерен использовать свой собственный токен для возмещения расходов в той мере, в какой это возможно, в настоящее время мы находимся на стадии сбора адресов и сумм».

Связанный: Qubit Finance понес убытки в размере 80 миллионов долларов после взлома

Компания PeckShield, занимающаяся безопасностью блокчейн, подсчитала, что в общей сложности злоумышленник забрал 1391 ETH и 2,74 wBTC и с тех пор отправил их в Ethereum, где токены прошли через Tornado Cash, инструмент конфиденциальности транзакций ETH.

Команда Hundred Finance еще не ответила на запрос о комментариях.

Первоначальные детали эксплойта кода Meter напоминают взлом Wormhole 3 февраля, когда 120 000 wETH (321 миллион долларов) были злонамеренно отчеканены и извлечены из платформы Wormhole. В этом инциденте хакер использовал ошибку смарт-контракта, чтобы чеканить wETH по своему желанию и отправлять токены в Ethereum, где они были смыты через Tornado Cash.