DeFi-проект xToken подвергся второй атаке за год. Ущерб оценили в $4,5 млн

Команда DeFi-проекта xToken сообщила о взломе протокола. Ущерб пользователей оценивается в $4,5 млн.

Атака произошла 29 августа в 7:43 (МСК).

Хакер использовал уязвимость в продукте xSNX, который позволяет получить доступ к активам на основе Synthetix без прямого взаимодействия со сложными смарт-контрактами протокола.

Основатель xToken Майкл Коэн описал действия злоумышленника в блоге:

  • хакер взял мгновенный займ в размере 25 000 ETH на платформе dYdX;
  • использовал эти средства в качестве залога для заимствования ~1 млн токенов SNX в протоколе Aave;
  • дополнительно обменял 6800 ETH на 519 000 SNX на децентрализованной бирже Bancor;
  • обменял полученные в сумме 1,5 млн SNX на 6,5 млн USDC в протоколе Kyber, обвалив цену токена управления Synthetix;
  • купил 6,5 млн sUSD на Curve за 6,5 млн USDC;
  • перевел около 2 млн sUSD в контракт xSNXAdmin с намерением погасить задолженность в стейблкоине, чтобы разблокировать SNX;
  • вызвал функцию callFunction в xSNXAdmin, сжег непогашенный долг и дополнительно купил 614 000 SNX за 811 000 sUSD по искусственно заниженной цене.
  • обменял 811 000 sUSD на 811 000 USDC, которые еще оставались в контракте;
  • совершил обратные операции, перевел активы в ETH и погасил займ.

Коэн признал, что по ошибке разработчиков функция callFunction оказалась общедоступной, хотя должна была вызываться только из смарт-контракта мгновенных займов dYdX. Хакер воспользовался уязвимостью, чтобы через активы xSNX оказать давление на цену SNX и извлечь выгоду из внешнего арбитража, уточнил он.

После атаки в xToken решили отказаться от продукта xSNX.

Команда разрабатывает план компенсации ущерба пользователям на основе собственного токена XTK.

«Мы — немногочисленная команда с небольшим бюджетом, и $4,5 млн — солидная сумма», — отметил Коэн.

Один из пользователей посчитал подозрительным, что взлом, вызвавший обвал цены XTK, произошел после серьезного дампа актива. С 22 августа курс вырос более чем в два раза — 28 августа котировки достигли $0,29 против $0,14 (CoinGecko).

Напомним, в мае неизвестный атаковал протокол с помощью двух эксплоитов и вывел активы стоимостью около $25 млн.

Подписывайтесь на наш Telegram и будьте в курсе последних новостей!
Чтобы оставить комментарий необходимо или зарегистрироваться