Децентралізований протокол стейблкоїнів у доларах США Raft стверджує, що, незважаючи на численні перевірки безпеки, фірма все ще зазнала атаки безпеки, яка призвела до втрати 6,7 мільйонів доларів минулого тижня.
Згідно з аналітичним звітом проекту від 13 листопада, за кілька днів до цього хакер позичив 6000 обернутих Coinbase стейк-ефірів (cbETH) на децентралізованому фінансовому протоколі Aave, переказав цю суму в Raft і викарбував 6,7 мільйона стейблкоїнів Raft під назвою «R”, використовуючи збій смарт-контракту.
Потім неавторизовані карбовані кошти були виведені з платформи через пули ліквідності на децентралізованих біржах Balancer і Uniswap, отримавши 3,6 мільйона доларів доходу. Після атаки стейблкоїн R відключився.
Згідно зі звітом:
«Основною причиною була проблема з точністю обчислення під час карбування токенів акцій, яка дозволяла експлуататору отримати додаткові токени акцій. Зловмисник використовував збільшене значення індексу, щоб збільшити вартість своїх акцій».
Смарт-контракти, використані під час інциденту, були перевірені фірмами безпеки блокчейну Trail of Bits і Hats Finance. «На жаль, уразливості, які призвели до інциденту, не були виявлені під час цих перевірок», — написали розробники Raft.
Проект повідомляє, що після інциденту 10 листопада він подав заяву в поліцію і зараз працює з централізованими біржами, щоб відстежити потік вкрадених коштів. Усі смарт-контракти Raft наразі призупинені, хоча користувачі, які карбували R, «зберігають можливість погасити свої позиції та отримати заставу».
Децентралізовані стейблкоїни карбуються з використанням депозитів у криптовалюті користувачів як застави. У грудні минулого року децентралізований стейблкойн HAY втратив прив’язку до долара США після того, як хакер скористався помилкою смарт-контракту та викарбував 16 мільйонів HAY без належної застави. З тих пір стейблкоїн HAY було повторно прив’язано, частково через протокол, який вимагає коефіцієнт забезпечення 152% на момент експлойту як частину управління ризиками.
We are aware of a potential security vulnerability.
We are currently investigating and will provide an update as soon as we can.
— Raft (@raft_fi) November 10, 2023
За темою: вересень став найбільшим місяцем для використання криптовалюти у 2023 році
