Команда DeFi-проекта xToken сообщила о взломе протокола. Ущерб пользователей оценивается в $4,5 млн.
Our xSNX contract was exploited. Our other contracts do not have similar vulnerabilities.Every day going forward from here will be focused on rebuilding trust with our community.We're assessing the situation and will update with next steps in the coming hours— xToken (@xtokenmarket) August 29, 2021
Атака произошла 29 августа в 7:43 (МСК).
Хакер использовал уязвимость в продукте xSNX, который позволяет получить доступ к активам на основе Synthetix без прямого взаимодействия со сложными смарт-контрактами протокола.
https://t.co/9yHw8WAILO— xToken (@xtokenmarket) August 29, 2021
Основатель xToken Майкл Коэн описал действия злоумышленника в блоге:
хакер взял мгновенный займ в размере 25 000 ETH на платформе dYdX;использовал эти средства в качестве залога для заимствования ~1 млн токенов SNX в протоколе Aave;дополнительно обменял 6800 ETH на 519 000 SNX на децентрализованной бирже Bancor;обменял полученные в сумме 1,5 млн SNX на 6,5 млн USDC в протоколе Kyber, обвалив цену токена управления Synthetix;купил 6,5 млн sUSD на Curve за 6,5 млн USDC;перевел около 2 млн sUSD в контракт xSNXAdmin с намерением погасить задолженность в стейблкоине, чтобы разблокировать SNX;вызвал функцию callFunction в xSNXAdmin, сжег непогашенный долг и дополнительно купил 614 000 SNX за 811 000 sUSD по искусственно заниженной цене.обменял 811 000 sUSD на 811 000 USDC, которые еще оставались в контракте;совершил обратные операции, перевел активы в ETH и погасил займ.
Коэн признал, что по ошибке разработчиков функция callFunction оказалась общедоступной, хотя должна была вызываться только из смарт-контракта мгновенных займов dYdX. Хакер воспользовался уязвимостью, чтобы через активы xSNX оказать давление на цену SNX и извлечь выгоду из внешнего арбитража, уточнил он.
После атаки в xToken решили отказаться от продукта xSNX.
Команда разрабатывает план компенсации ущерба пользователям на основе собственного токена XTK.
"Мы — немногочисленная команда с небольшим бюджетом, и $4,5 млн — солидная сумма", — отметил Коэн.
Один из пользователей посчитал подозрительным, что взлом, вызвавший обвал цены XTK, произошел после серьезного дампа актива. С 22 августа курс вырос более чем в два раза — 28 августа котировки достигли $0,29 против $0,14 (CoinGecko).
so after a massive pump, your token suddenly gets 'hacked'. Are we supposed to believe that. pic.twitter.com/lLyYrne9t6— MadRush (@rusty7500) August 29, 2021
Напомним, в мае неизвестный атаковал протокол с помощью двух эксплоитов и вывел активы стоимостью около $25 млн.
