Собственный протокол стабильной монеты Polygon QiDAO столкнулся с эксплойтом в своем контракте на наделение полномочиями Superfluid, что привело к падению цены управляющего токена QI на 65%. Цена QI упала с $1,24 до $0,18.

Во вторник QiDAO сообщила в Твиттере, что использовала эксплойт в контракте на наделение полномочиями Superfluid, но заверила, что средства пользователей в безопасности и никакие средства из QiDAO не пострадали. Superfluid также подтвердил эксплойт в QiDAO и заявил, что расследует ситуацию и обновит ее соответствующим образом. Протокол позволяет пользователям перемещать активы по цепочке в постоянном потоке в режиме реального времени из одного кошелька в другой.

Сегодня в 6:48 по Гринвичу мы были уведомлены о потенциальной уязвимости контракта QiDAO, использующего код Superfluid. Мы расследуем инцидент и будем держать вас в курсе в этой ветке и на нашем сервере Discord.

— Сверхфлюид (@Superfluid_HQ) 8 февраля 2022 г.

Хотя это не повлияло на средства пользователя, хакерам, стоящим за атакой, удалось уйти с токенами на сумму 20 миллионов долларов, включая 24 WETH, 562 000 USDC, 44 SDT, 1,5 миллиона MOCA, 23 000 STACK и почти 40 000 sdam3CRV. Ранняя информация предполагала, что украденные средства принадлежали некоторым из первых сторонников проекта, а также включали токены, принадлежащие команде.

Заявленная активность хакерского кошелька Источник: Polygonscan
Заявленная активность хакерского кошелька Источник: Polygonscan

Криптоаналитическая группа SlowMist создала трекер средств с балансом каждого украденного токена. Проанализировав данные транзакций кошелька, они подсчитали, что хакерам удалось украсть криптовалюты на сумму около 13 миллионов долларов.

Хакеры сообщили о балансе Источник: SlowMist
Хакеры сообщили о балансе Источник: SlowMist

Хакеры, стоящие за атакой, начали сбрасывать украденный QiDAO на Quickswap DEX с высоким проскальзыванием, что привело к снижению цены токена управления на 65%. Сообщество Polygon воспользовалось возможностью, чтобы купить падение, которое уже помогло токену управления подняться до 0,6 доллара после падения ниже 0,18 доллара. Важно отметить, что эксплойт осуществлялся с использованием уязвимости в Superfluid, а QiDAO не эксплуатировался.

Контракт на $QI под superfluid был использован (эксплуатируются только средства от ранних заблокированных инвесторов) Все хранилища в безопасности. Средства безопасны

Купил падение/эксплуатацию, сильная команда + сильные основы, купит весь гребаный пул, если бы не проблема с ликвидностью. https://t.co/NDBm3cNzxo

— Джаспер (@JunHao_yo) 8 февраля 2022 г.

QiDAO временно приостановила свой мост после эксплойта и надеялась решить проблему в ближайшее время. Эксплойт появляется в течение 24 часов после сбора средств Polygons на 450 миллионов долларов, однако сообщество продемонстрировало огромную поддержку собственного протокола стейблкоина и подчеркнуло, что это произошло из-за уязвимости третьих лиц, а не из-за проблемы с протоколом стейблкоина.

Источник