Молчание HectorDAO после взлома на 2,7 миллиона долларов потрясло инвесторов

Инвесторы HectorDAO, децентрализованной автономной организации (DAO) в сети Fantom, переживают последствия взлома на сумму 2,7 миллиона долларов, в результате которого будущее проекта стало неопределенным. Инцидент усугубился тем, что команда HectorDAO якобы перестала выходить на связь, оставив инвесторов в неведении и требуя ответов.

Взлом и нарушение связи

Взлом произошел 16 января 2024 года, как раз в тот момент, когда HectorDAO планировала расформироваться и вернуть активы инвесторам. Учетная запись развертывателя протокола внесла в белый список адрес вредоносного хакера, что привело к потерям в размере 2,7 миллиона долларов. Инвесторы обвинили команду HectorDAO в том, что она не смогла должным образом защитить их активы.
По словам анонимного инвестора, беседовавшего с Cointelegraph, 19 января команда HectorDAO внезапно перестала выходить на связь с сообществом. До этого все социальные каналы проекта были отключены с сентября 2023 года. Команда разрешила общаться через адрес электронной почты Google Group, но этот канал связи был удален за некоторое время до 19 января.
Взлом произошел, несмотря на предупреждения о безопасности, которые, как утверждается, были проигнорированы. Компания CertiK, специализирующаяся на безопасности блокчейна, сообщила команде HectorDAO о риске «централизации», связанном с функцией «addEligibleWallet», которая и стала первопричиной эксплойта. CertiK рекомендовала шаги по снижению риска, но команда HectorDAO по неизвестным причинам решила их не выполнять.
В ответ на это HectorDAO заявляет, что они обратились к CertiK для проведения тщательного анализа безопасности смарт-контрактов. Они утверждают, что все активы были защищены в хранилище Redemption Vault перед запуском процесса подачи заявок на производство. Однако анализ блокчейна показал, что злоумышленник имел доступ к учетной записи развертывателя команды, что говорит о возможности внутренней работы или компрометации приватного ключа.
Последнее известное сообщение от команды HectorDAO инвесторам было 18 января, после чего они замолчали. Отсутствие обновлений и прозрачности оставило инвесторов разочарованными и обеспокоенными судьбой своих средств.

Истоки HectorDAO и проблемы на этом пути

HectorDAO была основана в 2021 году, позволив ранним инвесторам приобрести свой токен, HEC, со скидкой через облигации DAO. Привлеченные средства должны были реинвестироваться, чтобы приносить доход держателям токенов. На пике своего развития казна HectorDAO хранила более 100 миллионов долларов в цифровых активах.
Однако проект столкнулся с трудностями во время крипто-зимы. К маю 2023 года цена HEC рухнула почти на 99 %, и стоимость казначейства HectorDAO также снизилась. Ситуация ухудшилась, когда в июле 2023 года взлом моста Multichain стоимостью 1,5 миллиарда долларов привел к дополнительным потерям в 8 миллионов долларов для HectorDAO. Этот инцидент привел к тому, что в июле 2023 года инвесторы проголосовали за ликвидацию DAO и возврат средств пользователям.
Несмотря на голосование, большая часть из 16 миллионов долларов, находившихся на тот момент в казначействе, осталась нераспределенной среди инвесторов к 15 января 2024 года, как раз перед взломом HectorDAO.

Атака и посмертный анализ

15 января команда HectorDAO попыталась распределить казначейские средства, переведя их в новый контракт на выкуп. Однако злоумышленник быстро перевел себе активы на сумму 2,7 миллиона долларов, внеся всего 0,0001 HEC. Платформа для выкупа была оперативно закрыта, а все оставшиеся активы были возвращены в казначейский контракт. Процесс выкупа до сих пор не возобновлен.
Посмертный отчет блокчейн-аналитика Lilbagscientist показал, что подготовка к атаке началась 16 декабря 2023 года, когда учетная запись развертывателя HectorDAO отправила 0,0001 HEC злоумышленнику. 15 января команда HectorDAO провела серию транзакций, перемещая средства на различные контракты. В итоге вся казна HectorDAO оказалась в мультисиге «Временное казначейство».
В 5:59 утра 15 января злоумышленник инициировал одобрение токена и внес 0,0001 HEC в контракт Hector Redemption Contract. Затем учетная запись деплойера команды внесла кошелек злоумышленника в белый список и установила курс выкупа на уровне 2,7 миллиона USD Coin (USDC). После этого злоумышленник вызвал mintWithdraw, в результате чего контракт выкупа Гектора отправил ему 2,7 миллиона долларов США в USDC и сжег 0,0001 HEC.

Предстоящий путь и опасения инвесторов

По состоянию на последнее обновление 18 января на сайте HectorDAO было указано, что процесс выкупа отложен, а команда активно расследует нарушение безопасности. Однако никаких дальнейших обновлений не последовало, что оставило инвесторов в неопределенности.
Разочарованные отсутствием связи, инвесторы рассматривают возможность подачи судебного иска против команды HectorDAO. Первоначально выплаты были запланированы на март, чтобы компенсировать инвесторам потери в процессе ликвидации DAO. Теперь, после взлома и нарушения связи, сроки возврата средств остаются неопределенными.
Инвесторы требуют от команды HectorDAO большей прозрачности и подотчетности. Они хотят получить контроль над оставшимися средствами и ответы на вопросы об уязвимостях в безопасности протокола и о том, что команда не прислушалась к предупреждениям и не внедрила необходимые меры защиты.
Между тем, взлом HectorDAO служит отрезвляющим напоминанием о рисках, присущих децентрализованному финансовому пространству (DeFi). Несмотря на обещания автономии и повышенной безопасности, уязвимости и человеческие ошибки все еще могут привести к значительным финансовым потерям.
Последствия взлома HectorDAO подчеркивают важность надежных мер безопасности, тщательного аудита и постоянного общения с сообществом. Это также подчеркивает необходимость для инвесторов проявлять осторожность и должную осмотрительность перед участием в DeFi проектах.
Пока продолжается расследование взлома, судьба HectorDAO и возврат средств инвесторов находятся на волоске. Этот инцидент служит предостережением для всей криптоиндустрии, подчеркивая важнейшую роль безопасности, прозрачности и ответственного управления в сохранении доверия и защите активов пользователей.
В заключение следует отметить, что молчание HectorDAO после взлома на сумму 2,7 миллиона долларов повергло инвесторов в шок и беспокойство. Отсутствие связи в сочетании с предполагаемой неспособностью защитить активы инвесторов вызвало разочарование и требования подотчетности. Этот инцидент подчеркивает риски и проблемы, с которыми сталкиваются децентрализованные финансовые проекты, а также необходимость ужесточения мер безопасности и прозрачной практики управления для защиты средств пользователей в условиях быстро развивающегося криптовалютного ландшафта.