Осажденный DeFi проект xToken страдает от второго крупного эксплойта с мая

В результате последней атаки на смарт-контракты протокола DeFi компания xToken получила около 4,5 миллионов долларов.

Децентрализованный финансовый проект xToken подвергся очередной атаке в выходные, после того как хакеры обнаружили уязвимость в смарт-контрактах для его продукта xSNX.

29 августа команда xToken сообщила, что в результате атаки из продукта xSNX, который позволяет пользователям получить доступ к активам на базе Synthetix без непосредственного взаимодействия со сложными смарт-контрактами протокола, были выведены средства на сумму около $4,5 млн.

Переведено с помощью www.DeepL.com/Translator (бесплатная версия)

Our xSNX contract was exploited. Our other contracts do not have similar vulnerabilities.

Every day going forward from here will be focused on rebuilding trust with our community.

We're assessing the situation and will update with next steps in the coming hours
— xToken (@xtokenmarket) August 29, 2021

Спустя несколько часов проект опубликовал посмертный отчет, объяснив, что для осуществления атаки злоумышленники взяли флэш-кредит на децентрализованной бирже dYdX (DEX) на сумму 25 000 ETH (примерно 81 миллион долларов США).

Затем они использовали Ether в качестве залога, чтобы взять 1,5 миллиона токенов управления Synthetix (SNX), используя популярный протокол денежного рынка DeFi Aave и биржу токенов с пулом ликвидности Bancor.

Они были обменены на 6,5 млн. USDC на децентрализованной бирже Kyber, что оказало понижательное давление на цену SNX. Затем злоумышленник обменял USDC на долларовые токены Synthetix (sUSD), после чего использовал недостаток в контрактах xToken для покупки 614 000 SNX по искусственно заниженной цене за 811 000 sUSD.

По текущим ценам, хакер получил SNX на сумму 7 миллионов долларов.

В ответ на последнюю атаку компания xToken объявила, что снимет с производства продукт xSNX, заявив следующее:

Текущая реализация xSNX, безусловно, является нашим самым сложным продуктом, со сложными зависимостями и значительной площадью для уязвимостей.

xToken позволяет пользователям держать процентные производные криптоактивов, таких как AAVE и SNX, которые требуют от держателей участия в стейкинге, управлении или другом протокольном взаимодействии для получения дохода.

Этот инцидент — не первый случай эксплуатации xToken в этом году. В мае протокол постигла аналогичная участь, когда злоумышленник манипулировал Kyber DEX, одновременно пользуясь расчетами цены xToken. Нарушение стоило протоколу около 25 миллионов долларов в токенах SNX на тот момент.

Команда xToken заявила, что на предстоящей неделе она займется подсчетом потерь инвесторов и разработкой программы компенсации, основанной на использовании ее собственного токена XTK.

На момент написания статьи, по данным CoinGecko, XTK упал на 45% за последние 24 часа и более чем на 90% по сравнению с апрельским историческим максимумом, который предшествовал первому эксплойту.

Оригинал