Децентрализованный финансовый проект xToken подвергся еще одной уязвимости на выходных после того, как хакеры обнаружили уязвимость в смарт-контрактах его продукта xSNX.

29 августа команда xToken сообщила, что в результате атаки из продукта xSNX xToken было выведено около $ 4,5 млн средств, что позволяет пользователям получить доступ к активам на основе Synthetix без прямого взаимодействия со сложным комплексом протокола. смарт-контракты.

Наш контракт xSNX был использован. Другие наши контракты не имеют подобных уязвимостей.

С этого момента каждый день будет направлен на восстановление доверия с нашим сообществом.

Мы оцениваем ситуацию и сообщим о дальнейших действиях в ближайшие часы.

- xToken (@xtokenmarket) 29 августа 2021 г.

Несколько часов спустя проект опубликовал вскрытие, в котором объяснялось, что злоумышленник взял мгновенный заем на децентрализованной бирже dYdX (DEX) на 25000 ETH (примерно 81 миллион долларов) для проведения атаки.

Затем они использовали эфир в качестве обеспечения для заимствования 1,5 миллиона токенов управления Synthetix (SNX) с использованием популярного протокола денежного рынка DeFi Aave и обмена токенов объединенной ликвидности Bancor.

Они были обменены на 6,5 млн долларов США на децентрализованной бирже Kyber, что оказало понижательное давление на цену SNX. Затем злоумышленник обменял USDC на токен Synthetix USD (sUSD), а затем воспользовался недостатком в контрактах xToken и приобрел 614 000 SNX по искусственно заниженной цене за 811 000 sUSD.

При нынешних ценах хакер утащил SNX на 7 миллионов долларов.

В ответ на последнюю атаку xToken объявила об отказе от продукта xSNX, заявив:

«Текущая реализация xSNX - безусловно, наш самый сложный продукт со сложными зависимостями и значительной площадью поверхности для уязвимостей».

xToken позволяет пользователям хранить приносящие процентный доход производные криптоактивов, таких как AAVE и SNX, которые требуют от держателей участия в стейкинге, управлении или другом взаимодействии по протоколу для получения дохода.

Этот инцидент - не первый случай использования xToken в этом году. В мае протокол постигла аналогичная участь, когда злоумышленник манипулировал Kyber DEX, одновременно пользуясь расчетами цен xToken. В то время нарушение обошлось протоколу примерно в 25 миллионов долларов в токенах SNX.

Двигаясь вперед, команда xToken заявила, что в предстоящую неделю она потратит на расчет убытков инвесторов и структурирование программы компенсации на основе использования собственного токена XTK.

На момент написания XTK сбросил 45% за последние 24 часа, согласно CoinGecko, и упал более чем на 90% по сравнению с апрельским рекордным максимумом, который предшествовал первому эксплойту.

Источник