Стаблкоин Polygon QiDAO заработал $13M на вложенном контракте Superfluid

Родной стейблкоин-протокол QiDAO компании Polygon столкнулся с эксплойтом на контракте наделения Superfluid, что привело к падению цены управляющего токена QI на 65%. Цена QI упала с $1,24 до $0,18.

QiDAO во вторник обратилась в Twitter, чтобы признать наличие эксплойта в контракте наделения Superfluid, но заверила, что средства пользователей в безопасности и никакие средства QiDAO не пострадали. Superfluid также подтвердил наличие эксплойта на QiDAO и сказал, что они расследуют ситуацию и будут обновлять информацию соответствующим образом. Протокол позволяет пользователям перемещать активы на цепи постоянным потоком в режиме реального времени из одного кошелька в другой.

Сегодня в 6.48 утра по Гринвичу мы получили уведомление о потенциальной эксплуатации контракта наделения QiDAO, использующего код Superfluid. Мы расследуем инцидент и будем держать вас в курсе событий в этой теме и на нашем сервере Discord.

— Superfluid (@Superfluid_HQ) 8 февраля 2022 г.

Хотя на средства пользователей это никак не повлияло, хакерам, стоящим за атакой, удалось унести токены на сумму $20 млн, включая 24 WETH, 562 000 USDC, 44 SDT, 1,5 млн MOCA, 23 000 STACK и почти 40 000 sdam3CRV. По ранней информации, похищенные средства принадлежали некоторым из ранних бекеров проекта и включали в себя также токены с правами команды.

Обнаруженная активность хакерского кошелька Источник: Polygonscan

Криптоаналитическая группа SlowMist создала трекер фондов с балансом каждого украденного токена. After analyzing the wallet transaction data, they estimated that the hackers managed to steal about $13 million worth of cryptocurrencies.

Hacker’s reported balance Source: SlowMist

The hackers behind the attack started dumping stolen QiDAO on Quickswap DEX with high slippage, leading to a 65% decline in the price of the governance token. The Polygon community took the opportunity to buy the dip which has already helped the governance token reach up to $0.6 after falling below $0.18. It is important to note that the exploit was carried out using a vulnerability in Superfluid, and QiDAO wasn’t exploited.

Quote.

Contract for $QI under superfluid was exploited (only funds from early investors locked are exploited) All vaults are safe. Funds are safu

Bought the dip/exploit, strong team + strong fundamentals, will buy the whole freaking pool if not for liquidity issue. https://t.co/NDBm3cNzxo

— Джаспер (@JunHao_yo) 8 февраля 2022 г.

QiDAO временно приостановил работу своего моста после эксплойта и надеется решить проблему в ближайшее время. Эксплойт появился в течение 24 часов после того, как Polygons собрала 450 миллионов долларов, однако сообщество продемонстрировало огромную поддержку родного протокола stablecoin и подчеркнуло, что это произошло из-за уязвимости третьей стороны, а не из-за проблемы с протоколом stablecoin.