Атакуючий Delta Prime викрав $6 млн, випустивши величезну кількість токенів
Дата: 2024-09-17 Автор: Oliver Abernathy Категорії: БІЗНЕС
Хакер зміг вивести понад $6 млн із протоколу децентралізованих фінансів (DeFi) Delta Prime, випустивши довільно велику кількість токенів депозитних квитанцій.
За даними блокчейн-експлорера Arbiscan, під час первісної атаки зловмисник випустив понад 115 дуовігінтильйонів токенів Delta Prime USD (DPUSDC), що становить понад 1,1*10^69 у науковій нотації.
DPUSDC - це депозитна квитанція для стейблкоіна USDC, що зберігається в Delta Prime. Вона повинна бути обмінюваною на USDC у співвідношенні 1:1.
Незважаючи на випуск такої величезної кількості квитанцій, зловмисник спалив лише 2,4 мільйона з них, отримавши натомість $2,4 мільйона у стейблкоїні USDC.
Потім він повторив ці дії з іншими квитанціями, випустивши понад 1 дуовігінтильйон Delta Prime Wrapped Bitcoin (DPBTCb), 115 октодециліонів Delta Prime Wrapped Ether (DPWETH), 115 октодециліонів Delta Prime Arbitrum (DPARB). Зрештою він перевів у готівку невелику частину з випущеного, отримавши більше $1 мільйона в біткоінах, ефірах, токенах Arbitrum та інших активах.
За даними фахівця з блокчейн-безпеки Чаофана Шоу, зловмисник викрав близько $6 млн. Він зміг випустити ці депозитні квитанції, отримавши контроль над адмінським обліковим записом, який, ймовірно, був зламаний шляхом крадіжки приватного ключа розробника. Використовуючи цей обліковий запис, він викликав функцію оновлення для кожного з контрактів ліквідності протоколу.
Ці функції зазвичай використовуються для оновлення програмного забезпечення. Вони дозволяють розробнику змінювати код контракту, вказуючи на іншу адресу реалізації.
Однак зловмисник використовував ці функції, щоб вказати кожен проксі на шкідливий контракт, який він створив. Кожен із цих контрактів дозволив йому випустити довільно велику кількість квитанцій і, по суті, спустошити всі пули.
Delta Prime визнала факт атаки в пості на X, заявивши: "О 6:14 CET DeltaPrime Blue (Arbitrum) зазнав атаки, і було викрадено $5,98 млн".
Вони також зазначили, що версія на Avalanche, DeltaPrime Blue, не є вразливою для атаки. Протокол заявив, що його страхування «покриє будь-які можливі втрати за необхідності».
Атака на Delta Prime наголошує на ризиках використання протоколів DeFi з можливістю оновлення контрактів.
Екосистема Web3 створена для запобігання крадіжкам приватних ключів, які можуть призвести до експлуатації всього протоколу.
Теоретично, зловмисникові потрібно було викрасти приватні ключі кожного користувача, щоб вивести усі кошти. Однак можливість оновлення контрактів вводить елемент ризику централізації, який може призвести до втрати коштів усієї бази користувача.
Проте деякі протоколи вважають, що відмова від можливості оновлення може бути ще гіршою, оскільки це може завадити розробнику виправити помилки, виявлені після розгортання. Розробники Web3 продовжують обговорювати, коли протоколи повинні та не повинні дозволяти оновлення.
Експлуатація смарт-контрактів залишається ризиком для користувачів Web3. 11 вересня зловмисник вивів понад $1,4 млн із пулу ліквідності CUT токенів, використовуючи неочевидний рядок коду, що посилається на неперевірену функцію в іншому контракті.
3 вересня зловмисник вивів понад $27 млн із протоколу Penpie, зареєструвавши свій шкідливий контракт як ринкову платформу для токенів.
