Ang isang yield-automating protocol sa Arbitrum ay pinagsamantalahan noong weekend sa isang insidente na pinalakas balanse ng hacker ng kanilang US dollar stablecoin Sperax (USDS).
Ngunit sa isang plot twist, sinabi ng koponan noong Martes na naibalik na ang lahat ng pondo - na tumuturo sa isang $300,000 USDC transaksiyon — at ang Sperax ay malapit nang magbigay ng timeline para ipagpatuloy ang mga paglilipat ng SperaxUSD.
Ang "hybrid" stablecoin, na unang nag-abiso sa mga gumagamit nito ng pag-atake noong Linggo, ay nag-publish ng isang ulat noong huling bahagi ng Lunes na nagdedetalye kung ano ang bumaba.
Bagama't sa ulat nito, tinawag ng SperaxUSD ang tao na isang "attacker," hiwalay na sinabi ng team sa isang tweet na ang taong nauugnay sa address ay "hindi isang hacker,” at nangako itong hindi gagawa ng anumang aksyon kung ibabalik ang mga pondo.
Sinabi ng koponan na sinamantala ng mapagsamantala ang isang panloob na bug sa kontrata ng token ng USDS upang baguhin ang balanse sa 9.7 bilyon sa isang multi-sig na wallet.
Bago ma-block ng team ang kontrata, nagawang palitan ng attacker ang humigit-kumulang $309,000 USD sa USDT, USDC at WETH.
Sinabi ng SperaxUSD na noong Disyembre 13, na-upgrade nito ang kontrata ng token upang ayusin ang isang isyu sa pagkalkula ng mga balanse, na nagdulot ng hindi pagkakatugma sa mga DEX.
Nagsimula ang pagsasamantala sa pagpapadala ng mga pondo sa isang Gnosis Safe address, isang multi-signature na smart contract wallet, na nag-trigger ng bug sa kontrata ng token ng USD. Iyan ay kung paano tumalon ang balanse sa 9.7 bilyong token.
Ang umaatake ay nagsimulang magbenta ng mga USD sa Arbitrum, malamang na 10,000 sa isang pagkakataon. Mga tatlong oras pagkatapos ng pag-atake, nagawang i-pause ng koponan ng SperaxUSD ang pagkilos.
Ang mga may hawak ng token ng USD ay may dalawang uri ng mga token: rebasing (kung saan ang supply ay inaayos upang kontrolin ang presyo) at hindi rebasing. Nangangahulugan ito na ang balanse ng USD ng rebasing holder ay awtomatikong tumataas sa isang rebase, na nati-trigger linggu-linggo.
"Kahit na ang lahat ng mga kontrata na binuo namin ay dumaan sa maraming pag-ikot ng mga pagsusuri at masusing pagsubok, napalampas pa rin namin ang edge case na ito. Nararamdaman namin na ang umaatake ay nag-eeksperimento lamang sa kontrata dahil ang na-upgrade na code ay hindi nai-publish, gayunpaman, natuklasan niya ang isang nobelang bug, maaari itong maging isang mas malala pang sitwasyon (kung ito ay binalak)," sabi ng koponan.
Kunin ang nangungunang balita at mga insight sa crypto sa araw na ito sa iyong email tuwing gabi. Mag-subscribe sa libreng newsletter ng Blockworks ngayon.
Gustong direktang ipadala ang alpha sa iyong inbox? Kumuha ng mga ideya sa pangangalakal ng degen, mga update sa pamamahala, pagganap ng token, mga hindi mapapalampas na tweet at higit pa mula sa Pang-araw-araw na Debrief ng Blockworks Research.
Hindi makapaghintay? Kunin ang aming balita sa pinakamabilis na paraan na posible. Sumali sa amin sa Telegram at sundan kami sa Google News.
Pinagmulan: https://blockworks.co/news/arbitrum-stablecoin-exploit-happy-ending