Децентрализованный финансовый проект xToken подвергся еще одной уязвимости на выходных после того, как хакеры обнаружили уязвимость в смарт-контрактах его продукта xSNX.
29 августа команда xToken сообщила, что в результате атаки средства на сумму около 4,5 миллионов долларов были выведены из продукта xSNX xToken, что позволяет пользователям получить доступ к активам на основе Synthetix без прямого взаимодействия со сложными смарт-контрактами протокола.
Наш контракт xSNX был использован.Другие наши контракты не имеют подобных уязвимостей.С этого момента каждый день будет направлен на восстановление доверия с нашим сообществом.Мы оцениваем ситуацию и сообщим о дальнейших действиях в ближайшие часы.
— xToken (@xtokenmarket) August 29, 2021
Несколько часов спустя проект опубликовал вскрытие, в котором объяснялось, что злоумышленник взял мгновенный заем на децентрализованной бирже dYdX (DEX) на 25000 ETH (примерно 81 миллион долларов) для проведения атаки.
Затем они использовали эфир в качестве обеспечения для заимствования 1,5 миллиона токенов управления Synthetix (SNX) с использованием популярного протокола денежного рынка DeFi Aave и обмена токенов объединенной ликвидности Bancor.
Они были обменены на 6,5 миллионов долларов США на децентрализованной бирже Kyber, что оказало понижательное давление на цену SNX.Затем злоумышленник обменял USDC на токен Synthetix USD (sUSD), прежде чем воспользоваться недостатком в контрактах xToken, чтобы купить 614000 SNX по искусственно заниженной цене за 811000 долларов США.
При нынешних ценах хакер утащил SNX на 7 миллионов долларов.
В ответ на последнюю атаку xToken объявила об отказе от продукта xSNX, заявив:
“The current xSNX implementation is by far our most complicated product, with complex dependencies and significant surface area for vulnerabilities.”
По теме: Как взламывают протоколы DeFi?
xToken позволяет пользователям хранить приносящие доход производные криптовалютные активы, такие как AAVE и SNX, которые требуют от держателей участия в стейкинге, управлении или другом взаимодействии по протоколу для получения дохода.
Этот инцидент – не первый случай использования xToken в этом году.В мае протокол постигла аналогичная участь, когда злоумышленник манипулировал Kyber DEX, одновременно используя расчеты цен xToken.В то время нарушение обошлось протоколу примерно в 25 миллионов долларов в токенах SNX.
Двигаясь вперед, команда xToken заявила, что в предстоящую неделю она потратит на расчет убытков инвесторов и структурирование программы компенсации на основе использования собственного токена XTK.
На момент написания XTK сбросил 45% за последние 24 часа, согласно CoinGecko, и упал более чем на 90% по сравнению с апрельским рекордным максимумом, который предшествовал первому эксплойту.