PeckShield: Хакер потратил $2 700 на кражу $15.8 млн из DAO-проекта Team Finance

Согласно данным компании PeckShield, работающей в сфере кибербезопасности, злоумышленники воспользовались ошибкой функции миграции в смарт-контрактах Team Finance.

Таким образом хакеры смогли получить доступ к заблокированным токенам ликвидности и вывести на свои адреса. Уязвимость позволила манипулировать ценой токенов ликвидности при миграции, и хакеры смогли получить огромную прибыль после окончания процесса. Как подчеркнули представители Team Finance, функция миграции со второй на третью версию протокола подвергалась аудиту, однако специалисты не обнаружили уязвимость.

Злоумышленникам удалось вывести активы четырех проектов, хранивших средства в протоколе Team Finance ― CAW (A Hunters Dream), Dejitaru Tsuka, Kondux и Feg. Больше всего потерял CAW ― хакеры украли токенов на сумму $11.5 млн.

«Мы временно приостановили всю активность через протокол ― до тех пор, пока не убедимся, что уязвимость была исправлена. Все оставшиеся в Team Finance средства не подвержены риску», ― подчеркнули разработчики.

Интересно, что для манипуляции ценой токенов ликвидности злоумышленники использовали всего 1.76 ETH ($2 700). На кошельке хакеров до сих пор хранятся средства, полученные в ходе атаки, включая $6.43 млн в стейблкоине DAI и 880 ETH ($1.36 млн).

Представители Team Finance призвали хакеров вернуть большую часть украденного в обмен на награду и обещания не преследовать злоумышленников. Это стандартная практика в подобных случаях.

Ранее протокол DeFi Moola Market потерял активов на $9 млн в ходе хакерской атаки.

Источник