Протокол за автоматизиране на доходността на Arbitrum беше използван през уикенда при инцидент, който подсилен баланса на хакера на техния стейбълкойн Sperax (USDS) в щатски долари.
Но в сюжетен обрат екипът каза във вторник, че всички средства са били върнати - сочейки $300,000 XNUMX USDC транзакция — и че Sperax скоро ще предостави график за възобновяване на трансферите на SperaxUSD.
„Хибридният“ стейбълкойн, който за първи път уведоми своите потребители за атаката в неделя, публикува доклад късно в понеделник, в който подробно описва какво се е случило.
Въпреки че в доклада си SperaxUSD нарича лицето „нападател“, екипът каза отделно в туит, че лицето, свързано с адреса, е „не е хакер”, и че се ангажира да не предприема никакви действия, ако средствата бъдат върнати.
Екипът каза, че експлоататорът се е възползвал от вътрешен бъг в договора за токени USDS, за да промени баланса на 9.7 милиарда в портфейл с множество подписки.
Преди екипът да успее да блокира договора, нападателят успя да обмени около $309,000 XNUMX USD за USDT, USDC и WETH.
SperaxUSD каза, че на 13 декември е надстроил договора за токени, за да отстрани проблем при изчисляването на балансите, който причини несъвместимост с DEX.
Експлойтът започна с изпращането на средства от нападателя на Gnosis Safe адрес, портфейл за интелигентен договор с множество подписи, което задейства грешка в договора за токени USD. Така балансът скочи до 9.7 милиарда токена.
След това нападателят започна да продава USD на Arbitrum, вероятно по 10,000 XNUMX наведнъж. Около три часа след атаката екипът на SperaxUSD успя да спре действието на пауза.
Притежателите на токена USDs имат два вида токени: пребазиране (където предлагането се коригира, за да се контролира цената) и непребазиране. Това означава, че балансът в щатски долари на притежател на пребазиране се увеличава автоматично при пребазиране, което се задейства всяка седмица.
„Въпреки че всички договори, които разработваме, преминават през множество кръгове на прегледи и задълбочени тестове, все още ни липсва този ръбов случай. Смятаме, че нападателят просто е експериментирал с договора, тъй като надстроеният код не е публикуван, но той/тя е открил нов бъг, можеше да е още по-лоша ситуация (ако беше планирано)“, каза екипът.
Получавайте най-важните крипто новини и прозрения за деня, доставени на вашия имейл всяка вечер. Абонирайте се за безплатния бюлетин на Blockworks сега.
Искате ли алфа версията да бъде изпратена директно във входящата ви кутия? Получавайте идеи за degen търговия, актуализации на управлението, производителност на токени, туитове, които не можете да пропуснете, и още от Ежедневен отчет на Blockworks Research.
Нямате търпение? Вземете нашите новини по възможно най-бързия начин. Присъединете се към нас в Telegram и ни последват в Google Новини.
Източник: https://blockworks.co/news/arbitrum-stablecoin-exploit-happy-ending