Paid Network, платформа DeFi, нацеленная на реальный бизнес, была использована сегодня в атаке «бесконечного монетного двора», в результате которой цены на PAID-токены упали на 85%.
В то время как эксплойт принес почти 180 миллионов долларов в виде ПЛАТНЫХ токенов на момент атаки – что с комфортом было бы крупнейшим эксплойтом протокола DeFi, – зарплата хакера в конечном итоге будет намного меньше.Один наблюдатель заметил, что кошелек злоумышленника преобразовал только часть своих токенов в обернутый эфир, оставив остальные в быстро обесценивающихся PAID-токенах:
Сводная информация об инциденте $PAID: Всего выплачено обменом на WETH: 2079.603371141493 = 3 104 887,33 долларов США. Всего выплачено на счете: 594 717 455,71 = 24 313 147 долларов. Общая сумма на счете злоумышленника = 27 418 034,33 доллара США. Оставайтесь в безопасности.pic.twitter.com/Lz93qGKAq0
— vasa (@vasa_develop) March 5, 2021
https://platform.twitter.com/widgets.js
В кошельке злоумышленника до сих пор хранится более 57 миллионов ПЛАТНЫХ токенов на сумму 37 миллионов долларов.
Эксплойт концептуально аналогичен атаке на страховой протокол Cover, которая произошла в конце декабря прошлого года.В этом случае команда сделала «снимок» владельцев перед атакой и выпустила новый токен, возвращая запас токена до уровней, предшествующих эксплуатации.
Команда подтвердила в Твиттере, что в настоящее время они планируют сделать снимок и восстановить:
Мы исследуем проблему.Мы увеличили ликвидность, создаем новый смарт-контракт и будем восстанавливать первоначальные балансы всех до взлома.Те, у кого есть стейкинг, Lpool и UniFarm $PAID, получат свои токены вручную.Скоро мы поделимся новыми обновлениями
— PAID NETWORK (@paid_network) March 5, 2021
https://platform.twitter.com/widgets.js
Однако держателям токенов, жаждущим разрешения проблемы, может не повезти.Некоторые в сообществе предполагают, что атака на PAID вовсе не была эксплойтом, а скорее «взломом» – разговорным термином для инсайдера, разрабатывающего контракты, чтобы специально сделать их доступными для использования и красть средства пользователей.
Ник Чонг из Parafi Capital отметил в Твиттере, что контракт на развертывание Paid, учетная запись, контролируемая извне, передал право собственности на развертыватель злоумышленнику незадолго до монетного двора, что указывает на то, что член команды либо ругал, либо ошибочно допустил атаку с помощьюнарушение безопасности:
Развертыватель платной сети, EOA, передал право собственности на контракт злоумышленнику за 30 минут до минуты https://t.co/h14GdV4fCf
— Nick Chong (@n2ckchong) March 5, 2021
https://platform.twitter.com/widgets.js
Кроме того, учетная запись анализа рисков DeFi @WARONRUGS предупредила именно об этом эксплойте в конце января, отметив, что владелец контракта может чеканить ПЛАТНЫЕ токены в любое время:
❌ Консультации по мошенничеству № 86 – PAID Network $PAID (0x8c8687fC965593DFb2F0b4EAeFD55E9D8df348df) Причина: владелец может чеканить токены и продавать токены новым кошелькам, которые никогда не покупали предварительную продажу.Контракт находится за доверенным лицом.Вероятность потери всех средств: Очень высокая DYOR.# WARONRUGS❌ pic.twitter.com/YQunjpWuxY
— #WARONRUGS❌ (@WARONRUGS) January 25, 2021
https://platform.twitter.com/widgets.js
Электронная записка, отправленная злоумышленнику, зловеще предупреждает, что «полиция Лос-Анджелеса очень скоро свяжется с Кайлом Чассом».Кайл Часс – генеральный директор Paid Network.
Платная сеть не ответила на запрос о комментарии к моменту публикации.