Arbitumin tuoton automatisointiprotokollaa hyödynnettiin viikonloppuna tapahtumassa, jossa kasvatti hakkerin saldo heidän Yhdysvaltain dollarin stablecoin Speraxista (USDS).
Mutta juonenkäänteessä tiimi sanoi tiistaina, että kaikki varat oli palautettu - viitaten 300,000 XNUMX dollarin USDC:hen. kauppa - ja että Sperax tarjoaa pian aikataulun SperaxUSD-siirtojen jatkamiselle.
"Hybridi" stablecoin, joka ilmoitti käyttäjilleen hyökkäyksestä sunnuntaina, julkaisi myöhään maanantaina raportin, jossa kerrottiin, mikä meni.
Vaikka SperaxUSD kutsuu raportissaan henkilöä "hyökkääjäksi", tiimi on kertonut erikseen twiitissä, että osoitteeseen liittyvä henkilö on "ei hakkeri”, ja että se lupasi olla ryhtymättä toimiin, jos varat palautetaan.
Tiimi sanoi, että hyväksikäyttäjä käytti hyväkseen sisäistä virhettä USDS-merkkisopimuksessa muuttaakseen saldon 9.7 miljardiin monen merkkien lompakossa.
Ennen kuin joukkue ehti estää sopimuksen, hyökkääjä onnistui vaihtamaan noin 309,000 XNUMX dollaria USDT:ksi, USDC:ksi ja WETH:ksi.
SperaxUSD sanoi, että se oli 13. joulukuuta päivittänyt token-sopimuksen korjatakseen saldolaskennassa olevan ongelman, joka aiheutti yhteensopimattomuutta DEXE:ien kanssa.
Hyökkääminen alkoi siitä, että hyökkääjä lähetti varoja Gnosis Safe -osoitteeseen, usean allekirjoituksen älykkääseen sopimuslompakkoon, mikä laukaisi virheen USD:n merkkisopimuksessa. Näin saldo hyppäsi 9.7 miljardiin tokeniin.
Hyökkääjä alkoi sitten myydä dollareita Arbitrumissa, todennäköisesti 10,000 XNUMX kerrallaan. Noin kolme tuntia hyökkäyksen jälkeen SperaxUSD-tiimi pystyi keskeyttämään toiminnan.
USDs-tokenin haltijoilla on kahden tyyppisiä tokeneita: rebasing (jossa tarjontaa säädetään hinnan ohjaamiseksi) ja ei-rebase. Tämä tarkoittaa, että uudelleenperustelun haltijan USD-saldo kasvaa automaattisesti viikoittain käynnistyvän peruskorjauksen yhteydessä.
"Vaikka kaikki kehittämämme sopimukset käyvät läpi useita tarkastuskierroksia ja perusteellisia testauksia, emme silti missaneet tämän reunatapauksen. Mielestämme hyökkääjä vain kokeili sopimusta, koska päivitettyä koodia ei julkaistu, mutta hän paljasti uuden bugin, tilanne olisi voinut olla vielä pahempi (jos se olisi suunniteltu), tiimi sanoi.
Saat päivän parhaat kryptouutiset ja oivallukset sähköpostiisi joka ilta. Tilaa Blockworksin ilmainen uutiskirje nyt.
Haluatko alfa lähetetään suoraan postilaatikkoosi? Hanki degen trade -ideoita, hallintopäivityksiä, tunnusten suorituskykyä, tviittejä ja paljon muuta Blockworks Researchin päivittäinen selvitys.
Etkö malta odottaa? Hanki uutisemme nopeimmalla mahdollisella tavalla. Liity meihin Telegramissa ja seuraa meitä Google Uutiset.
Lähde: https://blockworks.co/news/arbitrum-stablecoin-exploit-happy-ending