არბიტრამზე მოსავლიანობის ავტომატიზაციის პროტოკოლი გამოიყენეს შაბათ-კვირას ინციდენტში, რომელიც გაიზარდა ჰაკერების ბალანსი მათი აშშ დოლარის სტაბილური სპერაქსის (USDS).
მაგრამ შეთქმულების დროს, გუნდმა თქვა სამშაბათს, ყველა თანხა დაბრუნდა - მიუთითებს $300,000 USDC-ზე გარიგების — და რომ სპერაქსი მალე მიაწვდის ვადებს SperaxUSD გადარიცხვების განახლებისთვის.
„ჰიბრიდულმა“ სტაბილკოინმა, რომელმაც პირველად შეატყობინა თავის მომხმარებლებს შეტევის შესახებ კვირას, გამოაქვეყნა მოხსენება ორშაბათს გვიან, სადაც დეტალურად იყო აღწერილი, თუ რა მოხდა.
მიუხედავად იმისა, რომ თავის მოხსენებაში SperaxUSD პიროვნებას უწოდებს "თავდამსხმელს", გუნდმა ცალკე თქვა ტვიტერში, რომ მისამართთან ასოცირებული პირი არის "არა ჰაკერი”, და რომ იგი პირობას დებს, რომ არ მიიღებდა არანაირ ზომებს თანხის დაბრუნების შემთხვევაში.
გუნდმა თქვა, რომ ექსპლუატატორმა ისარგებლა USDS ტოკენის კონტრაქტის შიდა ხარვეზით, რათა შეცვალა ბალანსი 9.7 მილიარდამდე მრავალსიგიანი საფულეზე.
სანამ გუნდი კონტრაქტის დაბლოკვას შეძლებდა, თავდამსხმელმა მოახერხა დაახლოებით $309,000 აშშ დოლარის გადაცვლა USDT, USDC და WETH.
SperaxUSD-მა განაცხადა, რომ 13 დეკემბერს მან განაახლეს ტოკენის კონტრაქტი, რათა გამოესწორებინა პრობლემა ნაშთების გამოთვლაში, რამაც გამოიწვია შეუთავსებლობა DEX-ებთან.
ექსპლუატაცია დაიწყო იმით, რომ თავდამსხმელმა თანხები გაგზავნა Gnosis Safe-ის მისამართზე, მრავალხელმოწერიანი ჭკვიანი კონტრაქტის საფულეზე, რამაც გამოიწვია ხარვეზი აშშ დოლარის სიმბოლურ კონტრაქტში. ასე გადახტა ბალანსი 9.7 მილიარდ ტოკენამდე.
შემდეგ თავდამსხმელმა დაიწყო არბიტრამზე აშშ დოლარის გაყიდვა, სავარაუდოდ 10,000 ერთდროულად. შეტევიდან დაახლოებით სამი საათის შემდეგ, SperaxUSD-ის გუნდმა შეძლო მოქმედების შეჩერება.
აშშ დოლარის ტოკენის მფლობელებს აქვთ ორი ტიპის ტოკენი: რებაზირება (სადაც მიწოდება მორგებულია ფასის კონტროლისთვის) და არარებაზირება. ეს ნიშნავს, რომ რებაზირების მფლობელის აშშ დოლარის ბალანსი ავტომატურად იზრდება რებაზის შემდეგ, რომელიც ყოველკვირეულად ამოქმედდება.
„მიუხედავად იმისა, რომ ყველა კონტრაქტი, რომელსაც ჩვენ ვამუშავებთ, გადის მიმოხილვისა და საფუძვლიანი ტესტირების რამდენიმე რაუნდს, ჩვენ მაინც გამოგვრჩა ეს უპირატესობა. ჩვენ ვგრძნობთ, რომ თავდამსხმელი უბრალოდ ექსპერიმენტებს ატარებდა კონტრაქტთან დაკავშირებით, რადგან განახლებული კოდი არ არის გამოქვეყნებული, თუმცა მან აღმოაჩინა ახალი შეცდომა, ეს შეიძლებოდა ყოფილიყო კიდევ უფრო უარესი სიტუაცია (თუ ეს დაგეგმილი იყო)”, - თქვა გუნდმა.
მიიღეთ დღის საუკეთესო კრიპტო სიახლეები და ინფორმაცია, რომელიც მიეწოდება თქვენს ელ.წერილს ყოველ საღამოს. გამოიწერეთ Blockworks-ის უფასო ბიულეტენი ახლა.
გსურთ ალფა გაგზავნილი პირდაპირ თქვენს შემოსულებში? მიიღეთ დეგენური ვაჭრობის იდეები, მმართველობის განახლებები, ნიშნების შესრულება, არ შეიძლება გამოტოვოთ ტვიტები და სხვა Blockworks Research-ის ყოველდღიური ბრიფინგი.
ვერ ვიტან? მიიღეთ ჩვენი სიახლეები რაც შეიძლება სწრაფად. შემოგვიერთდით Telegram- ზე და კონტაქტი Google ამბები.
წყარო: https://blockworks.co/news/arbitrum-stablecoin-exploit-happy-ending