Команда DeFi-проекта xToken сообщила о взломе протокола. Ущерб пользователей оценивается в $4,5 млн.
Атака произошла 29 августа в 7:43 (МСК).
Хакер использовал уязвимость в продукте xSNX, который позволяет получить доступ к активам на основе Synthetix без прямого взаимодействия со сложными смарт-контрактами протокола.
Основатель xToken Майкл Коэн описал действия злоумышленника в блоге:
- хакер взял мгновенный займ в размере 25 000 ETH на платформе dYdX;
- использовал эти средства в качестве залога для заимствования ~1 млн токенов SNX в протоколе Aave;
- дополнительно обменял 6800 ETH на 519 000 SNX на децентрализованной бирже Bancor;
- обменял полученные в сумме 1,5 млн SNX на 6,5 млн USDC в протоколе Kyber, обвалив цену токена управления Synthetix;
- купил 6,5 млн sUSD на Curve за 6,5 млн USDC;
- перевел около 2 млн sUSD в контракт xSNXAdmin с намерением погасить задолженность в стейблкоине, чтобы разблокировать SNX;
- вызвал функцию callFunction в xSNXAdmin, сжег непогашенный долг и дополнительно купил 614 000 SNX за 811 000 sUSD по искусственно заниженной цене.
- обменял 811 000 sUSD на 811 000 USDC, которые еще оставались в контракте;
- совершил обратные операции, перевел активы в ETH и погасил займ.
Коэн признал, что по ошибке разработчиков функция callFunction оказалась общедоступной, хотя должна была вызываться только из смарт-контракта мгновенных займов dYdX. Хакер воспользовался уязвимостью, чтобы через активы xSNX оказать давление на цену SNX и извлечь выгоду из внешнего арбитража, уточнил он.
После атаки в xToken решили отказаться от продукта xSNX.
Команда разрабатывает план компенсации ущерба пользователям на основе собственного токена XTK.
«Мы — немногочисленная команда с небольшим бюджетом, и $4,5 млн — солидная сумма», — отметил Коэн.
Один из пользователей посчитал подозрительным, что взлом, вызвавший обвал цены XTK, произошел после серьезного дампа актива. С 22 августа курс вырос более чем в два раза — 28 августа котировки достигли $0,29 против $0,14 (CoinGecko).
Напомним, в мае неизвестный атаковал протокол с помощью двух эксплоитов и вывел активы стоимостью около $25 млн.
Подписывайтесь на канал ForkLog в YouTube.