Последний эксплойт моста DeFi приводит к убыткам Meter в размере 4,4 миллиона долларов

Платформа токена Meter Passport понесла убытки в размере 4,4 миллиона долларов из-за взлома смарт-контракта, в результате которого Hundred Finance также потеряла 3,3 миллиона долларов из-за кредитов с недостаточным обеспечением.

Meter Passport (MTRG) от Meter.io — это токен-мост, совместимый с Ethereum и его сайдчейнами. Эта атака затронула сторону моста со стороны Лунной реки.

Moonriver — это платформа смарт-контрактов, основанная на сети Kusama от Polkadot. Hundred Finance — это платформа крипто-кредитования, основанная на коде Compound Finance.

Согласно заявлению Meter от 6 февраля, начиная с 14:00 по всемирному координированному времени 5 февраля и в ходе нескольких транзакций, около 4,4 миллиона долларов в Binance-coin">Binance Coin (BNB) и wETH были отчеканены из-за «неправильного предположения о доверии» в коде. команда. В этом случае произвольное количество ETH было депонировано в Meter, которое хакер использовал для чеканки токенов, используя уязвимость.

1. Около 6:00 по тихоокеанскому времени мы обнаружили, что кто-то смог использовать уязвимость моста для чеканки большого количества токенов BNB и WETH и исчерпал резерв моста для BNB на WETH.

— ⚡️Meter.io⚡️ (@Meter_IO) 5 февраля 2022 г.

Атака вызвала каскадный эффект в экосистеме Moonriver, расположенной в Кусаме. После истощения резервов BNB и wETH в Meter злоумышленник продал BNB на популярной децентрализованной бирже SushiSwap. В то время это привело к падению цены BNB на Moonriver на 77%.

Затем ряд оппортунистов воспользовались падением цен, купив дешевые BNB. Они использовали токены в качестве залога в Hundred Finance, чтобы брать кредиты в стейблкоинах FRAX и MIM. Однако из-за расхождения в цене BNB их кредиты стоили больше, чем предоставленный ими залог, что вызвало кризис предложения.

2/4. Учетные записи могли приобрести BNB.BSC по сниженной цене и использовать эти токены в качестве залога по глобальной цене Chainlink для заимствования бескомпромиссных активов на нашей платформе. Из них в настоящее время затронуты MIM и FRAX.

— Сотня финансов (@HundredFinance) 6 февраля 2022 г.

Удивительно, но два кредита были погашены, в результате чего протоколу Сотни остались непогашенные убытки в размере 3,3 миллиона долларов. Команда Hundred попыталась связаться с вовлеченными сторонами, чтобы попросить их вернуть токены BNB, используемые в качестве залога для Meter.

Команда Meter взяла на себя обязательство возместить своему сообществу и Hundred Finance убытки, понесенные в результате взлома. 6 февраля команда заявила, что выделила 4,4 миллиона долларов в токенах MTRG для покрытия первоначальных убытков.

«Вфат», основатель Hundred Finance под псевдонимом, заявил в заявлении для Rekt News от 6 февраля, что:

«Конечно, Meter взял на себя ответственность за этот взлом и намерен использовать свой собственный токен для возмещения расходов в той мере, в какой это возможно, в настоящее время мы находимся на этапе сбора адресов и сумм».

Компания PeckShield, занимающаяся безопасностью блокчейна, подсчитала, что в общей сложности злоумышленник забрал 1391 ETH и 2,74 wBTC и с тех пор отправил их в Ethereum, где токены прошли через Tornado Cash, инструмент конфиденциальности транзакций ETH.

Команда Hundred Finance еще не ответила на запрос о комментариях.

Первоначальные детали эксплойта кода Meter напоминают взлом Wormhole 3 февраля, когда 120 000 wETH (321 миллион долларов) были злонамеренно отчеканены и извлечены из платформы Wormhole. В этом инциденте хакер использовал ошибку смарт-контракта, чтобы чеканить wETH по своему желанию и отправлять токены в Ethereum, где они были смыты через Tornado Cash.