Атакующий Delta Prime похитил $6 млн, выпустив огромное количество токенов

Согласно данным блокчейн-эксплорера Arbiscan, в ходе первоначальной атаки злоумышленник выпустил более 115 дуовигинтиллионов токенов Delta Prime USD (DPUSDC), что составляет более 1,1*10^69 в научной нотации.

DPUSDC — это депозитная квитанция для стейблкоина USDC, хранящегося в Delta Prime. Она должна быть обменяема на USDC в соотношении 1:1.

Несмотря на выпуск такого огромного количества квитанций, злоумышленник сжег только 2,4 миллиона из них, получив взамен $2,4 миллиона в стейблкоине USDC.

Затем он повторил эти действия с другими квитанциями, выпустив более 1 дуовигинтиллиона Delta Prime Wrapped Bitcoin (DPBTCb), 115 октодециллионов Delta Prime Wrapped Ether (DPWETH), 115 октодециллионов Delta Prime Arbitrum (DPARB) и множество других депозитных квитанций. В конечном итоге он обналичил небольшую часть из выпущенного, получив более $1 миллиона в биткоинах, эфирах, токенах Arbitrum и других активах.

По данным специалиста по блокчейн-безопасности Чаофана Шоу, злоумышленник похитил около $6 млн. Он смог выпустить эти депозитные квитанции, получив контроль над админским аккаунтом, который, вероятно, был взломан путем кражи приватного ключа разработчика. Используя этот аккаунт, он вызвал функцию «обновления» для каждого из контрактов ликвидности протокола.

Эти функции обычно используются для обновления программного обеспечения. Они позволяют разработчику изменять код контракта, указывая на другой адрес реализации.

Однако злоумышленник использовал эти функции, чтобы указать каждый прокси на вредоносный контракт, который он создал. Каждый из этих контрактов позволил ему выпустить произвольно большое количество квитанций и, по сути, опустошить все пулы.

Delta Prime признала факт атаки в посте на X, заявив: «В 6:14 CET DeltaPrime Blue (Arbitrum) подвергся атаке, и было похищено $5,98 млн». 

Они также отметили, что версия на Avalanche, DeltaPrime Blue, не уязвима для атаки. Протокол заявил, что его страхование «покроет любые возможные потери при необходимости».

Атака на Delta Prime подчеркивает риски использования протоколов DeFi с возможностью обновления контрактов.

Экосистема Web3 создана для предотвращения краж приватных ключей, которые могут привести к эксплуатации всего протокола.

Теоретически, злоумышленнику нужно было бы похитить приватные ключи каждого пользователя, чтобы вывести все средства. Однако возможность обновления контрактов вводит элемент риска централизации, который может привести к потере средств всей пользовательской базы.

Тем не менее, некоторые протоколы считают, что отказ от возможности обновления может быть еще хуже, так как это может помешать разработчику исправить ошибки, обнаруженные после развертывания. Разработчики Web3 продолжают обсуждать, когда протоколы должны и не должны позволять обновления.

Эксплуатация смарт-контрактов продолжает оставаться риском для пользователей Web3. 11 сентября злоумышленник вывел более $1,4 млн из пула ликвидности CUT токенов, используя неочевидную строку кода, ссылающуюся на непроверенную функцию в другом контракте.

3 сентября злоумышленник вывел более $27 млн из протокола Penpie, зарегистрировав свой вредоносный контракт как рыночную платформу для токенов.