Злоумышленник сумел похитить более 6 миллионов долларов из децентрализованного финансового (DeFi) протокола Delta Prime, создав произвольное количество токенов квитанций о депозите.
Детали атаки
Согласно данным блокчейн-эксплорера Arbiscan, атакующий в первой атаке создал более 115 дуовигинтиллионов токенов Delta Prime USD (DPUSDC), что больше чем 1.1*10^69 в научной нотации. DPUSDC — это токен квитанции за USDC стейблкоин, хранящийся в Delta Prime, и его можно обменять в соотношении 1:1 на USDC. Несмотря на то, что злоумышленник создал такое огромное количество токенов, он уничтожил лишь 2,4 миллиона из них, получив взамен 2,4 миллиона долларов в USDC.
Методы злоумышленника
Атакующий затем повторил эти шаги для других токенов квитанций, создав более 1 дуовгигинтиллиона Delta Prime Wrapped Bitcoin (DPBTCb), 115 октодециллионов Delta Prime Wrapped Ether (DPWETH), 115 октодециллионов Delta Prime Arbitrum (DPARB) и множество других токенов квитанций, в конечном итоге обменяв небольшую часть созданного количества на более 1 миллиона долларов в Bitcoin, Ether, Arbitrum и других токенах. Специалист по безопасности блокчейнов Чаофан Шу оценил убытки пользователей в 6 миллионов долларов до сих пор.
Реакция и последствия
Атакующий смог создать эти токены квитанций, сначала получив контроль над администраторским аккаунтом, заканчивающимся на b1afb, вероятно, путем кражи приватного ключа разработчика. Используя этот аккаунт, злоумышленник вызвал функцию «обновления» на каждом из контрактов ликвидности протокола, позволив каждому прокси указывать на вредоносный контракт, созданный атакующим. В ответ Delta Prime признал атаку в посте, заявив, что версия на Avalanche, DeltaPrime Blue, не подвержена этой уязвимости, и что страхование протокола покроет любые возможные потери, где это необходимо.
Атака на Delta Prime иллюстрирует риски использования обновляемых контрактов в DeFi протоколах. Web3 экосистема стремится предотвратить подобные уязвимости, однако использование обновляемых контрактов все еще остается спорным вопросом среди разработчиков, которые продолжают обсуждать, когда и как следует разрешать обновления.
Комментарии