Аудит безопасности не выявил уязвимостей, поскольку Raft был взломан на 6,7 миллиона долларов

0

Содержание

Несмотря на принятые меры предосторожности, протокол DeFi Raft на прошлой неделе стал жертвой взлома системы безопасности, в результате которого были потеряны средства на сумму 6,7 миллиона долларов США.

< h2 dir="ltr" id="ms-1">Обнаружено нарушение безопасности

Raft, децентрализованная финансовая платформа, стоящая за стейблкоином R с привязкой к доллару США, сообщила об уязвимости безопасности в своей системе несмотря на многочисленные проверки безопасности. Согласно отчету о вскрытии, опубликованному 13 ноября, хакер одолжил 6000 застейкованных в Coinbase эфиров (cbETH) на Aave и воспользовался сбоем смарт-контракта, чтобы отчеканить 6,7 миллионов токенов R.

R отключен, несмотря на меры предосторожности

После эксплойта несанкционированные средства были выведены с платформы через пулы ликвидности на децентрализованных биржах Balancer и Uniswap, в результате чего выручка составила 3,6 миллиона долларов. Впоследствии стейблкоин R подвергся депривязке после атака. Стейблкоин Raft, привязанный к доллару, первоначально упал на 50% по сравнению с ценой в 1 доллар после эксплойта, но позже, согласно данным Coinmarketcap, подскочил примерно до 70 центов.

Использованные смарт-контракты были прошел проверку фирмами по безопасности блокчейнов Trail of Bits и Hats Finance. Несмотря на эти усилия, по данным Raft, в ходе проверок не было обнаружено уязвимостей, приведших к инциденту.

Хакер потерял деньги?

Данные в сети выявили интригующий аспект: после слива 1577 ETH с Raft злоумышленник отправил 1570 ETH на сжигаемый адрес, эффективно уничтожив большую часть украденных активов и оставив только 7 ETH. . Крипто-кошелек злоумышленника получил 18 ETH через Tornado Cash перед атакой, а после выполнения переводов у него осталось только 14 ETH, что указывает на потерю 4 ETH.

В отчете о вскрытии говорится:

«Основной основной причиной была проблема с точностью вычислений при чеканке токенов акций, что позволило злоумышленнику получить дополнительные токены акций. Злоумышленник использовал расширенное значение индекса, чтобы увеличить стоимость своих акций».

Действия после инцидента

После инцидента 10 ноября Raft предприняла немедленные шаги, подав отчет полиции и сотрудничество с централизованными биржами для отслеживания украденных средств. В настоящее время все смарт-контракты Raft приостановлены. Однако пользователи, создавшие R, по-прежнему имеют возможность погасить свои позиции и получить залог.

После этого эксплойта Raft сталкивается с двойной проблемой: восстановиться после финансовых потерь и восстановление доверия среди своей пользовательской базы.

Отказ от ответственности: эта статья предназначена только для информационных целей. Он не предлагается и не предназначен для использования в качестве юридических, налоговых, инвестиционных, финансовых или других рекомендаций.

Отказ от ответственности за инвестиции

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *