Последний случай использования моста DeFi приводит к убыткам компании Meter в размере $4,4 млн.
Платформа токен-моста Meter Passport понесла убытки в размере $4,4 млн из-за взлома смарт-контракта, в результате которого компания Hundred Finance также потеряла $3,3 млн из-за кредитов с недостаточным обеспечением.
Meter.io’s Meter Passport (MTRG) — это токен-мост, совместимый с Ethereum и его сайдчейнами. Эта атака затронула сторону моста Moonriver.
Moonriver — это платформа смарт-контрактов, основанная на сети Kusama компании Polkadot. Hundred Finance — платформа крипто-кредитования, основанная на коде Compound Finance.
Начиная с 14:00 UTC 5 февраля и в течение нескольких транзакций, около $4,4 млн в Binance Coin (BNB) и wETH были добыты в результате «неверного предположения о доверии» в коде, согласно заявлению команды Meter от 6 февраля. В данном случае на счет Meter было зачислено произвольное количество ETH, которое хакер использовал для майнинга токенов, используя уязвимость.
1. Около 6 утра по тихоокеанскому времени мы обнаружили, что кто-то смог использовать уязвимость моста для майнинга большого количества токенов BNB и WETH и истощил резерв моста для BNB и WETH.
— ⚡️Meter.io⚡️ (@Meter_IO) 5 февраля 2022 г.
Атака вызвала каскадный эффект во всей экосистеме Moonriver, основанной Кусамой. После истощения запасов BNB и wETH в Meter злоумышленник продал BNB на SushiSwap, популярной децентрализованной бирже. Это привело к обвалу цены BNB на Moonriver на 77%.
Ряд оппортунистов воспользовались ценовым провалом, купив дешевые BNB. Они использовали токены в качестве залога на Hundred Finance для получения кредитов ETH, FRAX и MIM. Однако из-за расхождения в цене BNB их кредиты стоили больше, чем предоставленный ими залог, что вызвало кризис предложения.
2/4. Аккаунты смогли приобрести BNB.bsc по сниженной цене и использовать эти токены в качестве залога по глобальной цене Chainlink для заимствования бескомпромиссных активов на нашей платформе. Из них в настоящее время затронуты MIM и FRAX.
— Hundred Finance (@HundredFinance) 6 февраля 2022 г.
Удивительно, но два из этих кредитов были погашены, в результате чего протокол Hundred понес убытки в размере 3,3 млн долларов. Кредит в ETH был полностью возвращен. Команда Hundred попыталась связаться с заинтересованными сторонами, чтобы попросить их вернуть токены BNB, использованные в качестве залога для Meter.
Команда Meter обязалась возместить своему сообществу и Hundred Finance убытки, понесенные в результате взлома. Команда заявила 6 февраля, что она зарезервировала 4,4 миллиона долларов в токенах MTRG для покрытия первоначальных убытков.
«Vfat», псевдонимный основатель Hundred Finance, в заявлении Rekt News от 6 февраля сказал следующее:
«Meter, конечно, приняли на себя ответственность за этот взлом и намерены использовать свой родной токен для возмещения ущерба в той мере, в какой они могут, в настоящее время мы находимся на стадии сбора адресов и сумм.»
По оценкам фирмы PeckShield, занимающейся безопасностью блокчейна, в общей сложности злоумышленник завладел 1 391 ETH и 2,74 wBTC, которые затем были отправлены в Ethereum, где токены прошли через Tornado Cash, инструмент конфиденциальности транзакций ETH.
Представитель команды Hundred Finance сообщил Cointelegraph, что компания подождет около суток, прежде чем предпримет шаги по возобновлению работы рынков MIM и FRAX на стороне Moonriver своей платформы. Отвечая на вопрос о безопасности моста, команда Hundred сообщила Cointelegraph:
«Мы надеемся, что мосты укрепят свою безопасность и сделают свои технологии более безопасными. Что касается нас, то мы будем еще строже относиться к активам и мостам на новых цепочках».
Первые детали использования кода Meter напоминают взлом Wormhole 3 февраля, в ходе которого 120 000 вьетнамских вьетнамцев (321 миллион долларов США) были злонамеренно отчеканены и извлечены из платформы Wormhole. В этом инциденте хакер использовал ошибку в смарт-контракте для майнинга wETH по своему усмотрению и отправил токены в Ethereum, где они были вымыты через Tornado Cash.
Статья обновлена, чтобы добавить, что кредит ETH на Hundred Finance был возвращен.