Злоумышленник напечатал 5,4 трлн токенов vsdCRV на Stake — но вывел всего $91 000

Неизвестный взломал криптовалютную платформу Stake DAO, специализирующуюся на автоматизированных стратегиях получения дохода и блокировке токенов, создал более 5,4 трлн vsdCRV в сети Arbitrum и попытался их вывести. Об этом сообщили аналитики компаний Blockaid и PeckShield.

Злоумышленник получил доступ к приватному ключу развертывания, с помощью которого изменил настройки компонента LayerZero v2 OFT в контракте токена vsdCRV, заменив узел вредоносным. Затем отправил поддельное межсетевое сообщение, которое и запустило эмиссию токенов на адрес хакера. 

5,4 трлн vsdCRV имели номинальную стоимость около $763 млрд, однако из-за слишком низкой ликвидности хакеру удалось обменять только 16,83 млн vsdCRV на 43,7 ETH стоимостью чуть больше $91000. Обмен происходил через несколько децентрализованных бирж, включая Curve и KyberSwap. 

Злоумышленник использовал всю доступную ликвидность постепенно: сначала обменивал на площадке Curve партии по 963820 vsdCRV на токены CRV, затем на площадке KyberSwap дополнительные партии — на эфир. И так до тех пор, пока пулы не были полностью исчерпаны. Оставшиеся триллионы токенов невозможно обменять из‑за отсутствия ликвидности — они так и хранятся на кошельке хакера.

Stake DAO подтвердила взлом и призвала пользователей не взаимодействовать с токеном vsdCRV. 

Случай схож с недавним взломом Echo Protocol: тогда хакер похитил 1000 обернутых биткоинов стоимостью около $76,45 млн, но смог вывести лишь $860000 из‑за аналогичных ограничений ликвидности.

источник