Уязвимость DeFi, приводящая к эксплойту стоимостью 6,7 миллиона долларов, «не обнаружена» аудиторами

Децентрализованный протокол стейблкоинов в долларах США Raft утверждает, что, несмотря на многочисленные проверки безопасности, фирма все же подверглась уязвимости безопасности, которая привела к потере 6,7 миллионов долларов на прошлой неделе.

Согласно отчету о вскрытии проекта от 13 ноября, за несколько дней до этого хакер одолжил 6000 застейкнутых в Coinbase эфиров (cbETH) по протоколу децентрализованного финансирования Aave, перевел сумму в Raft и выпустил 6,7 миллиона стейблкоинов Raft, получивших название «R», используя сбой смарт-контракта.

Затем несанкционированные отчеканенные средства были выведены с платформы через пулы ликвидности на децентрализованных биржах Balancer и Uniswap, что принесло выручку в размере 3,6 миллиона долларов. После атаки стейблкоин R прекратил привязку.

Согласно отчету:

«Основной основной причиной была проблема точности вычислений при чеканке токенов акций, что позволило злоумышленнику получить дополнительные токены акций. Злоумышленник использовал расширенное значение индекса, чтобы увеличить стоимость своих акций».

Смарт-контракты, использованные во время инцидента, были проверены фирмами по безопасности блокчейн Trail of Bits и Hats Finance. «К сожалению, уязвимости, которые привели к инциденту, в ходе этих аудитов не были обнаружены», — написали разработчики Raft.

В проекте говорится, что после инцидента 10 ноября он подал заявление в полицию и в настоящее время работает с централизованными биржами, чтобы отследить поток украденных средств. Все смарт-контракты Raft в настоящее время приостановлены, хотя пользователи, создавшие R, «сохраняют возможность погасить свои позиции и получить залог».

Децентрализованные стейблкоины чеканятся с использованием депозитов пользователей в криптовалюте в качестве залога. В декабре прошлого года децентрализованный стейблкоин HAY потерял привязку к доллару США после того, как хакер воспользовался сбоем смарт-контракта и напечатал 16 миллионов HAY без надлежащего обеспечения. С тех пор стейблкоин HAY был повторно привязан, отчасти из-за того, что протокол требует коэффициента обеспечения 152% на момент использования в рамках управления рисками.

We are aware of a potential security vulnerability.

We are currently investigating and will provide an update as soon as we can.

— Raft (@raft_fi) November 10, 2023

Связанный: Сентябрь станет самым большим месяцем для эксплойтов криптовалют в 2023 году