Протокол Bent Finance - REKT

На этот раз, похоже, из-за внутренних структурных неполадок.

Bent Finance - это платформа для "стейкинга и фарминга для увеличения ваших показателей возврата капитала."

В течение последних нескольких недель один из адресов нарушал правила протокола, выводя ~$1.75M, пока все не было улажено.

Когда об этом стало известно и цену $BENT подкосило, команда выпустила вялое предупреждение, сообщая пользователям о том, что выдача вознаграждений была приостановлена, но о потере фондов речи не шло.

Однако, когда PeckShield заявил о том, что обнаружил источник эксплоита внутри проекта...

…команда была вынуждена выпустить обновление, которое можно было расценивать как обвинение в инсайдерской работе:

Источник: BlockSecTeam

В отличие от технических манипуляций со смарт-контрактом, в данном случае все намного проще.

Контракт cvxCRV протокола Bent Finance был обновлен 30-го ноября, в результате был вручную изменен баланс в адресе эксплоитера.

В результате эксплоитеру были присуждены огромные суммы вознаграждений, намного превосходящие TVL самого Bent Finance.

Несмотря на то, что эксплоит был активен в течение почти трех недель, проблема стала очевидной только тогда, когда Bent Finance прошел листинг на DeBank, и профиль, привязанный к кошельку эксплоитера обнаружил ожидающие получения вознаграждения стоимостью в миллиарды долларов на платформе.

Если посмотреть на транзакции с токенами в основном кошельке, то можно увидеть несколько небольших депозитов, за которыми следуют очень большие выводы, один 12 декабря (на 263k cvxcrv-f), и второй сегодня в 02:45 +UTC утра (на 250k cvxcrv-f).

Затем токены были пересланы на вспомогательный адрес эксплоитера, где они были обменены на CRV, затем на ETH, и посланы на Tornado Cash.

Всего с 12/12 и до сегодняшнего дня через Tornado Cash было отмыто 440 ETH (~$1.75M).

Роль, которую листинг Bent Finance на DeBank сыграл в сегодняшнем происшествии и в недавнем сборе $75M проектом Nansen указывает на ценность, которую эти сервисы приносят для все более усложняющейся отрасли.

Даже если данные ончейн могут предоставить всю необходимую информацию тем, кто умеет (и хочет) проводить расследование, эти инструменты в разы увеличивают вероятность заметить неполадку в более скромных проектах.

Тем не менее, в случае с Bent Finance, учитывая источник эксплоита, а также реакцию команды, все это очень похоже на инсайдерскую работу:

Рагпул или мошенник в команде?

В заголовках в последнее время числились хакерские атаки гораздо большего масштаба, и инциденты подобные этому скоро забудутся.

Возможно, именно на это и рассчитывает команда Bent Finance...

REKT представляет собой общественную площадку для анонимных авторов. Мы не несём ответственность за выражаемые точки зрения или контент на этом веб-сайте.

Пожертвование (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

Дисклеймер:

REKT не несет никакой ответственности за любое содержание, размещенное на нашем Веб-сайте или имеющее какое-либо отношение к оказываемым нами Услугам, независимо от того, было ли оно опубликовано или создано Анонимным Автором нашего Веб-сайта или REKT. Не смотря на то, что мы устанавливаем правила поведения и нормы публикаций для Анонимных Авторов, мы не контролируем и не несем ответственность за содержание публикаций Анонимных Авторов, а также за то, чем делятся и что передают Авторы с помощью нашего Сайта и наших Сервисов, и не несем ответственность за любое оскорбительное, неуместное, непристойное, незаконное или спорное содержание, с которым вы можете столкнуться на нашем Веб-сайте и на наших Сервисах. REKT не несет ответственность за поведение, будь то онлайн или офлайн, любого пользователя нашего Веб-сайта или наших Сервисов.