VEE FINANCE - REKT



Top ten.

Los $34 millones robados de Vee Finance lo ponen en el lugar número 7 en nuestro leaderboard.

Mientras AVAX sube en popularidad, su tasa de crimen incrementa con ella. Esta es la segunda pérdida considerable este mes en la red Avalanche.

El 12 de septiembre Zabu Finance perdió ~$3.2M; una cifra pequeña comparada con la pérdida de hoy, pero todavía una enorme cantidad para los que no están acostumbrados al drama de DeFi.

Lo que es normal para nosotros no lo es fuera de aquí.

34 millones de dólares robados, pero esta historia es solamente una de muchas.

Lo siguiente viene del (primer) post-mortem oficial.

Dirección ETH del Exploiter: 0xeeee458c3a5eaafcfd68681d405fb55ef80595ba

Dirección AVAX del Exploiter: 0xeeeE458C3a5eaAfcFd68681D405FB55Ef80595BA

La dirección ETH del exploiter fue financiada a través de TornadoCash en tres transacciones de 10 ETH: UNA, DOS, TRES.

Los fondos luego fueron enviados a Avalanche, donde el agresor canjeó 26.999006274904347875 WETH.e por 1,369.708 AVAX vía Pangolin.

El agresor luego publicó exploit contract 1 y lo utilizó primero para canjear AVAX por los tokens objetivos, y después para crear los siguientes pares de canje.

QI/WETH.e

XAVA//WETH.e

LINK.e/WETH.e

QI/LINK.e

XAVA/LINK.e

XAVA/WBTC.e

LINK.e/WBTC.e

Una vez financiado el contrato de ataque con 20 AVAX en 5 direcciones, la preparación estuvo completa y la ejecución del exploit pudo comenzar.

Después de fallar inicialmente debido a insuficiente gas, el agresor fue capaz de utilizar un contrato dinámico para realizar leveraged trading en el par QI/WETH.e antes de que el contrato fallara de nuevo.

Después de publicar un nuevo contrato de ataque, se siguieron los mismos pasos, ahora con éxito.

Canjes repetitivos de USDT.e a ETH.e fueron hechos vía AugustusSwapper.

Y un tercer ataque fue publicado.

Durante el leveraged trading, Vee Finance utiliza un oráculo de precios de fuente única: los precios de activos en las pools de Pangolin. Al canjear entre estos pares recién creados, el agresor fue capaz de manipular los precios que Vee Finance utilizaba como referentes.

Esta manipulación, junto con el hecho de que la adquisición de precios no fue procesada con decimales, permitió la aprobación de transacciones que normalmente no hubieran pasado el control de slippage del protocolo.

Para un análisis detallado del exploit, ve el segundo post-mortem que Vee Finance ha publicado hoy.

Los fondos robados fueron enviados de regreso a Ethereum durante y después del ataque, tras una serie de más de 100 transacciones, como por ejemplo esta.

La wallet Ethereum del exploiter actualmente tiene un total de 214 WBTC ($9.3 M) y 8,804 WETH ($26.9M).

Según el reporte del incidente de Vee Finance, “El equipo de VEE está activamente trabajando para clarificar el incidente y continuará intentando contactar con el agresor para recuperar los activos” y piden al agresor que acepte un bug bounty.

El equipo envió una transacción a las direcciones del exploiter en ambos Ethereum y Avalanche, con el siguiente mensaje, que también fue compartido en Twitter:

> Hola, es el equipo vee.finance. Estamos dispuestos a lanzar un programa bug bounty para el bug que has encontrado, favor de contactar con nosotros vía contact@vee.finance.

Otras transacciones recibidas contenían mensajes también, abarcando desde advertencias:

Tu dirección ha sido identificada por el equipo.

A autopromoción:

Hola, soy @yannickcrypto, por favor sígueme en twitter https://twitter.com/yannickcrypto

Hasta mendigar abiertamente on-chain:

Amigo, manda algo a un pobre que no tiene para comer

Al momento de redacción, todavía no hay respuesta del amigo.

Vee Finance ignoró las recomendaciones dadas en su auditoría de Slowmist, y la auditoría de Certik tampoco ayudó mucho.

Cualquier proyecto que aparece en los “grupos de pump” como éste no está haciendo las cosas bien.

¿Vamos a ver una recuperación en forma de VEE o habrá todo este valor verdaderamente volado?

(Por favor considera la tarea de tu autor anónimo al nombrar tus protocolos)


compartir artículo

REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.

dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

aviso legal:

REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.