Протокол Team Finance - REKT

Четыре проекта были взломаны через совместно используемый механизм защиты от взломов.

Проект Team Finance, самопровозглашенный “Лидер Индустрии в Проектной Безопасности и Автоматизации”, потерял $15.8M фондов, которые он должен был держать в сохранности.

Из четырех взломанных пулов больше всего пострадали FEG, Caw, и Kondux. Пул Tsuka тоже пострадал, но давление на цену в нем было ниже благодаря запасному пулу ликвидности на Uniswap v3.

На сайте проекта заявлено, что под защитой находятся свыше $2.5 миллиардов активов но, принимая во внимание низкую ликвидность их коллекции шиткоинов это заявление можно считать в лучшем случае оптимистичным.

#46 в рейтинге.

Командная работа.

Источник: Peckshield

В объявлении о хакерской атаке команда объясняет, что целью эксплоита была “прошедшая аудит функция миграции токенов из v2 в v3.”

Уязвимость содержалась в Liquidity Locks - “пуленепробиваемых смарт-контрактах”, которые позволяли проектам мигрировать заблокированные позиции LP из Uni v2 в Uni v3.

Согласно проведенному аудиторской компанией Peckshield анализу:

В протоколе содержится дефектная функция migrate(), которая была использована для трансфера реальной ликвидности UniswapV2 в новую пару V3 с искаженной ценой, контролируемую злоумышленником. В результате образовался огромный остаток, ставший прибылью хакера. К тому же, авторизованную проверку отправителя можно обойти, блокируя любые токены.

Расклад потери пула Uniswap v2 каждого из проектов выглядит следующим образом:

$11.5M CAW

$1.7M TSUKA

$0.7M KNDX

$1.9M FEG

Адрес эксплоитера #1: 0x161cebb807ac181d5303a4ccec2fc580cc5899fd

Адрес эксплоитера #2 (содержащий украденные фонды): 0xba399a2580785a2ded740f5e30ec89fb3e617e6e

Транзакция атаки: 0xb2e3ea72…

Контракт атаки: 0xcff07c4e6aa9e2fec04daaf5f41d1b10f3adadf4

Уязвимая функция migrate() была включена в аудит контрактов Team Finance, проведенный компанией Zokyo Security в августе этого года.

"Инструментарий ДАО" было одним из самых часто упоминаемых словосочетаний в последнем цикле.

Маленькие, анонимные команды, работающие над инновационными протоколами могут поддаваться соблазну передавать доверие третьей стороне. Но учитывая количество шиткоинов, "защищенных" протоколом Team Finance, хранилища кажутся более вероятным способом для проектов выглядеть надежными с помощью прокси.

Теперь, когда стало ясно, что они потеряли доверие,

займет ли этот протокол позицию один за всех и возместит средства пострадавшим, или здесь каждый сам за себя?

В слове "Команда" нет буквы $.

REKT представляет собой общественную площадку для анонимных авторов. Мы не несём ответственность за выражаемые точки зрения или контент на этом веб-сайте.

Пожертвование (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

Дисклеймер:

REKT не несет никакой ответственности за любое содержание, размещенное на нашем Веб-сайте или имеющее какое-либо отношение к оказываемым нами Услугам, независимо от того, было ли оно опубликовано или создано Анонимным Автором нашего Веб-сайта или REKT. Не смотря на то, что мы устанавливаем правила поведения и нормы публикаций для Анонимных Авторов, мы не контролируем и не несем ответственность за содержание публикаций Анонимных Авторов, а также за то, чем делятся и что передают Авторы с помощью нашего Сайта и наших Сервисов, и не несем ответственность за любое оскорбительное, неуместное, непристойное, незаконное или спорное содержание, с которым вы можете столкнуться на нашем Веб-сайте и на наших Сервисах. REKT не несет ответственность за поведение, будь то онлайн или офлайн, любого пользователя нашего Веб-сайта или наших Сервисов.