DeFi-проект xToken позволяет выпускать «обернутые» активы протоколов Bancor (BNT) и Synthetix (SNX), сохраняя для пользователей возможность получать прибыль от стейкинга и проценты дохода от размещения ликвидности, доступные в этих сетях.
Токены xBNT выпускаются после блокировки в контракте ETH, смарт-контракт пула самостоятельно условно конвертирует криптовалюту залога в BNT. Рассчитанное число используется для выпуска точного числа синтетического аналога этой цифровой валюты.
Хакеры использовали 61800 ETH взятые в флэш кредите для залога, но сумели добиться неправильного математического расчета количества BNT, «подставив» вместо него курс другого токена (SPD), гораздо меньшего номинала. В результате, количество выпущенных xBNT превысило все активы пула, которые были обменены на реальные 781000BNT и 2400 ETH.
Разработчики успели блокировать вывод 1,9 млрд xBNTa, иначе бы потери инвесторов составили гораздо большую сумму.
Смарт-контракт по выпуску xSNX был атакован хакерами через протокол Kyber Network, где злоумышленники использовали флэш-кредит для манипулирования ценой SNX перед каждым выпуском синтетического актива. Аналитики The Block подозревают, что одновременное использование двух уязвимостей и скорость атаки, указывает на возможное участие людей, близких к разработке кода xToken.
