Протокол Levyathan - REKT

Еще одна TVL исчезла по вине загадочного монстра.

Протокол Levyathan.financeпошел ко дну на прошлой неделе, вместе со своей TVL объемом в $1.5M.

С того момента команда опубликовала несколько бездарных твитов и многословных постов на Medium, пытаясь переложить вину, но мы вам расскажем, как мы видим эту ситуацию.

Разработчики Levyathan оставили приватные ключи от кошелька с опцией минтинга в доступе на Github.

~Четыре месяца спустя эти ключи были использованы, чтобы провести минтинг и дамп LEV в пропасть.

Затем, когда пользователи попытались спасти то, что осталось от их денег, баг в механизме вывода привел к тому, что их обесцененные токены тоже были безвозвратно потеряны...

"Хорошего вам дня"

Сказали админы Levyathan.

Официальный пост-мортем не имеет практически никакого смысла, когда осознаешь, что они дали всем такую легкую возможность минтить их токен.

В результате эксплойта пользователи были вынуждены использовать emergencyWithdraw() в попытке спасти свои токены в стейкинге.

Однако, в логике функции emergencyWithdraw() содержался баг, который сослался на rewardDebt (переменная, связанная с расчетом вознаграждения) вместо user.amount для определения количества токенов к выводу.

Некоторые пользователи, которые быстро вывели фонды таким способом, заметили, что они получали больше токенов, чем ожидалось. Они продолжили выводить все больше и больше LEV, истощая контракт и не оставляя ничего тем, кто пришел позже.

В своем пост-мортеме Levyathan предоставил адрес, на который пользователи могли вернуть фонды ”соблюдая анонимность". На него пришло 3 миллиарда собачьих токенов и один PLUGANAL.

Позже команда предоставила второй адрес, который с тех пор получил ~150,000 BUSD (которые пришли с первого предоставленного командой Levyathan адреса).

Что за цирк.

Уму непостижимо, как можно было оставить на всеобщее обозрение четко помеченные приватные ключи.

Особенно, когда они предоставляют доступ к полному контролю (без мультиподписи) над нативным токеном твоего протокола.

В своем последнем неуклюжем сообщении команда Levyathan подчеркнула тот факт, что, раз приватные ключи были во всеобщем доступе, мы можем быть уверены, что “это была не инсайдерская работа”.

Пока они этого не сказали, мы уже было смирились с некомпетентностью, но могла ли команда Levyathan быть достаточно тупой, чтобы попытаться выдать эту историю с "незащищенными ключами" в качестве алиби?

Вам решать...

REKT представляет собой общественную площадку для анонимных авторов. Мы не несём ответственность за выражаемые точки зрения или контент на этом веб-сайте.

Пожертвование (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

Дисклеймер:

REKT не несет никакой ответственности за любое содержание, размещенное на нашем Веб-сайте или имеющее какое-либо отношение к оказываемым нами Услугам, независимо от того, было ли оно опубликовано или создано Анонимным Автором нашего Веб-сайта или REKT. Не смотря на то, что мы устанавливаем правила поведения и нормы публикаций для Анонимных Авторов, мы не контролируем и не несем ответственность за содержание публикаций Анонимных Авторов, а также за то, чем делятся и что передают Авторы с помощью нашего Сайта и наших Сервисов, и не несем ответственность за любое оскорбительное, неуместное, непристойное, незаконное или спорное содержание, с которым вы можете столкнуться на нашем Веб-сайте и на наших Сервисах. REKT не несет ответственность за поведение, будь то онлайн или офлайн, любого пользователя нашего Веб-сайта или наших Сервисов.