Собственный протокол стабильной монеты Polygon QiDAO столкнулся с эксплойтом в своем контракте на наделение полномочиями Superfluid, что привело к падению цены управляющего токена QI на 65%. Цена QI упала с $1,24 до $0,18.
Во вторник QiDAO обратилась в Twitter, чтобы признать эксплойт в контракте на наделение полномочиями Superfluid, но заверила, что средства пользователей в безопасности и никакие средства из QiDAO не пострадали. Superfluid также подтвердил эксплойт в QiDAO и заявил, что расследует ситуацию и обновит ее соответствующим образом. Протокол позволяет пользователям перемещать активы по цепочке в постоянном потоке в режиме реального времени из одного кошелька в другой.
Сегодня в 6:48 по Гринвичу мы были уведомлены о потенциальной уязвимости контракта QiDAO, использующего код Superfluid. Мы расследуем инцидент и будем держать вас в курсе в этой ветке и на нашем сервере Discord.— Superfluid (@Superfluid_HQ) 8 февраля 2022 г.
Хотя это не повлияло на средства пользователя, хакерам, стоящим за атакой, удалось уйти с токенами на сумму 20 миллионов долларов, включая 24 WETH, 562 000 USDC, 44 SDT, 1,5 миллиона MOCA, 23 000 STACK и почти 40 000 sdam3CRV. Ранняя информация предполагала, что украденные средства принадлежали некоторым из первых сторонников проекта, а также включали токены, принадлежащие команде.
Криптовалютная аналитическая группа SlowMist создала трекер средств с балансом каждого украденного токена. Проанализировав данные транзакций кошелька, они подсчитали, что хакерам удалось украсть криптовалюты на сумму около 13 миллионов долларов.
Хакеры, стоящие за атакой, начали сбрасывать украденный QiDAO на Quickswap DEX с высоким проскальзыванием, что привело к снижению цены токена управления на 65%. Сообщество Polygon воспользовалось возможностью, чтобы купить падение, которое уже помогло токену управления подняться до 0,6 доллара после падения ниже 0,18 доллара. Важно отметить, что эксплойт осуществлялся с использованием уязвимости в Superfluid, а QiDAO не эксплуатировался.
Контракт на $QI под superfluid был использован (эксплуатируются только средства от ранних заблокированных инвесторов) Все хранилища в безопасности. Средства в безопасности. Купил дип/эксплуатацию, сильная команда + сильные основы, купит весь чертов пул, если не проблема с ликвидностью.https://t.co/NDBm3cNzxo— Джаспер (@JunHao_yo) 8 февраля 2022 г.
QiDAO временно приостановила свой мост после эксплойта и надеялась решить проблему в ближайшее время. Эксплойт появляется в течение 24 часов после сбора средств Polygons в размере 450 миллионов долларов, однако сообщество продемонстрировало огромную поддержку собственного протокола стейблкоина и подчеркнуло, что это произошло из-за сторонней уязвимости, а не из-за проблемы с протоколом стейблкоина.
