Un protocollo di automazione del rendimento su Arbitrum è stato sfruttato durante il fine settimana in un incidente che potenziato il saldo dell'hacker della loro stablecoin in dollari USA Sperax (USDS).
Ma in un colpo di scena, il team ha detto martedì che tutti i fondi sono stati restituiti, puntando a $ 300,000 USDC delle transazioni - e che Sperax avrebbe presto fornito una tempistica per riprendere i trasferimenti SperaxUSD.
La stablecoin "ibrida", che ha notificato per la prima volta ai suoi utenti l'attacco domenica, ha pubblicato un rapporto nella tarda serata di lunedì che descrive in dettaglio cosa è successo.
Sebbene nel suo rapporto SperaxUSD definisca la persona un "aggressore", il team ha affermato separatamente in un tweet che la persona associata all'indirizzo è "non un hacker” e che si è impegnata a non intraprendere alcuna azione se i fondi fossero stati restituiti.
Il team ha affermato che lo sfruttatore ha approfittato di un bug interno nel contratto token USDS per modificare il saldo a 9.7 miliardi su un portafoglio multi-sig.
Prima che il team potesse bloccare il contratto, l'aggressore è riuscito a scambiare circa $ 309,000 USD in USDT, USDC e WETH.
SperaxUSD ha affermato che il 13 dicembre aveva aggiornato il contratto token per rimediare a un problema nel calcolo dei saldi, che causava incompatibilità con i DEX.
L'exploit è iniziato con l'invio di fondi da parte dell'attaccante a un indirizzo Gnosis Safe, un portafoglio smart contract multi-firma, che ha attivato un bug nel contratto token USD. È così che il saldo è balzato a 9.7 miliardi di token.
L'aggressore ha quindi iniziato a vendere USD su Arbitrum, probabilmente 10,000 alla volta. Circa tre ore dopo l'attacco, il team di SperaxUSD è stato in grado di sospendere l'azione.
I possessori del token USD hanno due tipi di token: ribasamento (dove l'offerta viene regolata per controllare il prezzo) e non ribasamento. Ciò significa che il saldo in USD di un detentore di ribasamento aumenta automaticamente in caso di ribasamento, che viene attivato settimanalmente.
“Anche se tutti i contratti che sviluppiamo vengono sottoposti a molteplici cicli di revisioni e test approfonditi, ci siamo comunque persi questo caso limite. Riteniamo che l'aggressore stesse solo sperimentando il contratto poiché il codice aggiornato non è stato pubblicato, tuttavia ha scoperto un nuovo bug, avrebbe potuto essere una situazione anche peggiore (se fosse stata pianificata) ", ha affermato il team.
Ricevi le principali notizie e approfondimenti sulle criptovalute del giorno direttamente nella tua e-mail ogni sera. Iscriviti alla newsletter gratuita di Blockworks ora.
Vuoi ricevere l'alfa direttamente nella tua casella di posta? Ottieni idee commerciali degenerative, aggiornamenti sulla governance, prestazioni dei token, tweet da non perdere e altro ancora da Rapporto quotidiano di Blockworks Research.
Non puoi aspettare? Ricevi le nostre notizie nel modo più veloce possibile. Unisciti a noi su Telegram e seguici su Google News.
Fonte: https://blockworks.co/news/arbitrum-stablecoin-exploit-happy-ending