Хакер карбує 1 млрд токенів у смарт-контракті Curio на суму 16 мільйонів доларів

Фірма Curio, яка займається ліквідністю реальних активів (RWA), зазнала експлойту смарт-контракту, пов’язаного з критичною вразливістю, пов’язаною з привілеями голосування, що дозволило зловмиснику вкрасти цифрові активи на суму 16 мільйонів доларів.

Curio попередив свою спільноту про експлойт і підкреслив, що вони вирішують ситуацію. Компанія заявила, що смарт-контракт на основі MakerDAO, який використовується в Curio, був зламаний.

Однак компанія запевнила своїх користувачів, що експлойт вплинув лише на сторону Ethereum і що всі контракти Polkadot і Curio Chain залишаються в безпеці.

Фірма безпеки Web3 Cyvers оцінила збитки від експлойту близько 16 мільйонів доларів. Охоронна фірма заявила, що експлойт містить «вразливість логіки доступу».

25 березня Curio опублікував посмертний експлойт і план компенсації для постраждалих користувачів. У звіті Куріо підкреслив, що проблема полягала в недоліку контролю доступу до привілеїв голосування.

Завдяки цьому зловмисник отримав невелику кількість токенів Curio Governance (CGT), що дозволило йому отримати доступ і підвищити право голосу в смарт-контракті проекту.

Маючи підвищені права голосу, зловмисник виконав низку кроків, які зрештою дозволили виконати довільні дії в рамках контракту Curio DAO. Це призвело до несанкціонованого карбування 1 мільярда CGT.

У звіті Куріо сказав, що всі кошти, які постраждали від експлойту, будуть повернуті. Команда заявила, що випустить новий токен під назвою CGT 2.0. За допомогою нового токена команда пообіцяла відновити 100% коштів для власників CGT.

За темою: Хакер перераховує 10 мільйонів доларів від фішингового інциденту 2023 року на Tornado Cash

Для постачальників ліквідності Curio сказав, що буде проводити програму компенсації коштів. Команда повідомила, що виплачуватиметься в чотири етапи, кожен з яких триватиме 90 днів. Це може означати, що повна виплата потенційно може зайняти один рік. Вони написали:

«Програма компенсації складатиметься з 4 послідовних етапів, кожен з яких триватиме 90 днів. Протягом кожного етапу: компенсація буде виплачуватися в USDC/USDT, що становить 25% від збитків, понесених другим токеном у пулах ліквідності».

Компанія також заявила, що винагородить хакерів, які можуть допомогти у відновленні втрачених коштів. Команда заявила, що хакери можуть отримати винагороду, еквівалентну 10% коштів, відновлених на початковому етапі відновлення.