Из протокола децентрализованного финансирования xToken злоумышленником были выведены вывел активы на сумму около $25 млн.
Our initial report on today's exploit. More details in the coming days.https://t.co/ZadHCUTqEK
— xToken (@xtokenmarket) May 12, 2021
Команда проекта сообщила, что атака произошла 12 мая в 17:44 по киевскому времени. Специалисты заметили «расхождения в цене и предложении» примерно через десять минут после ее начала и приостановили работу смарт-контрактов.
Неизвестный сразу же опустошил пулы ликвидности xBNTa и xSNXa. Токены BNT и SNX остались в контрактах xToken. Хакер извлек 416 ETH из контракта xSNX, поскольку он хранит Ethereum в рамках стратегии хеджирования долга. Пулы ликвидности Bancor и Balancer потеряли активы стоимостью около $25 млн.
Злоумышленник сразу взял мгновенный займ в размере 61 800 ETH, а затем применил два эксплойта:
- использовал криптовалюту для манипуляций с оракулом Kyber Network, предоставляющим блокчейну данные о цене SNX. Он смог выпустить множество синтетических токенов, а за тем быстро конвертировал их в ETH и SNX;
- поскольку xBNT — «обернутый» токен, для его выпуска необходимо внести залог именно в BNT. Однако смарт-контракт xToken не проверял эту зависимость. Благодаря уязвимости хакер использовал более дешевые токены SPD.
Аналитик TheBlock Игорь Игамбердиев говорит, что факт одновременного использования двух уязвимостей и скорость атаки указывают на возможное участие людей, близких к разработке проекта.
1/9
Another DeFi protocol xToken was exploited today and almost $25 million was stolen.
The attacker was smart enough (or close enough to this project) to use two different exploits for two projects’ tokens.?? pic.twitter.com/cCmOu1hj9g
— Igor Igamberdiev (@FrankResearcher) May 12, 2021
