Протокол SafeDollar - REKT

Ваши доллары не в безопасности и никогда не были.

Пользователи прыгают из одного чейна в другой, но хакеры преследуют их по пятам.

Количество пользователей сети Polygon росло в течение последних нескольких месяцев, изначально это было альтернативой перегруженной сети Ethereum, а затем туда сбегали с минного поля Binance Smart Chain. Однако похоже на то, что где ликвидность, там и лазейка, и теперь все перенесли свои деньги в Polygone.

У низкокачественных протоколов медийное освещение тоже плохого качества, но вы просили больше, поэтому получайте.

Двести сорок восемь тысяч потеряны по вине протокола, который назывался "SafeDollar”.](https://www.safedollar.fi/)

Если они вынуждены подчеркивать свою безопасность, то, как правило, ее там нет.

SafeDollar не только пережил падение цены своего "стейбл" койна SDO на базе Polygon до $0, но это даже не был первый эксплоит, от которого протокол пострадал на этой неделе.

...мы встретились с первыми трудностями, но мы продолжим неустанно работать, чтобы проект продолжал следовать по взятому курсу.

Мы благодарим вас за ваше понимание и поддержку SafeDollar.

Написать вялый пост-мортем, поздравить себя и поблагодарить пользователей за то, что продолжают доверять твоему подпорченному протоколу - все это смотрится так себе.

Вообще-то это даже больше похоже на приглашение.

Меньше двух недель назад мы задались вопросом:

Все ли алгорифмические стейблкоины обречены повторить один и тот же сценарий?

На этот раз украдено всего лишь $250 тысяч с помощью эксплоита бесконечного минтинга.

Эксплоит воспользовался багом в механизме вознаграждений SafeDollar, чтобы манипулировать значением accSdoPerShare, в частности получив возможность сделать клейм огромного количества SDO для каждого токена в депозите.

В качестве подготовки был сделан первоначальный депозит в один из пулов Safe Farm протокола.

Токен, стимулирование которого проводил SafeDollar, PLX, взимает комиссию с трансферов. Эти комиссии предположительно покрываются пользователем, но вместо этого во время транзакций по выводу они удерживались из баланса ривордера.

Образовалась лазейка в механизме депозит/вывод, которая позволила хакеру постепенно удалить баланс PLX из пула в ходе 101 транзакции, в результате чего случилась массовая инфляция аccSdoPerShare в размере 1,142,913,215,739,484,400 SDO вознаграждения за каждый вложенный PLX.

Теперь, когда система вознаграждений искажена, атакующий выстрелил последнюю транзакцию.

Клейм вознаграждения с начального депозита произвел 831,309,277,244,108,000 SDO, которые были проданы одномоментно, обрушив цену SDO прямиком до $0.00.

Несмотря на то, что атаковавший обладал таким огромным количеством стейблкойнов, он смог скрыться с выходной ликвидностью от почившего койна в размере всего 202k USDC и 46k USDT.

Поэтому, всего лишь $248k, а не $248 миллионов.

Позиция номер 36 в рейтинге, надеемся, что это будет самый маленький хак, о котором нам придется писать.

Похоже что сочетание CTRL C / CTRL V так же популярно при написании статей о протоколах DeFi, как и при создании их форков.

REKT представляет собой общественную площадку для анонимных авторов. Мы не несём ответственность за выражаемые точки зрения или контент на этом веб-сайте.

Пожертвование (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

Дисклеймер:

REKT не несет никакой ответственности за любое содержание, размещенное на нашем Веб-сайте или имеющее какое-либо отношение к оказываемым нами Услугам, независимо от того, было ли оно опубликовано или создано Анонимным Автором нашего Веб-сайта или REKT. Не смотря на то, что мы устанавливаем правила поведения и нормы публикаций для Анонимных Авторов, мы не контролируем и не несем ответственность за содержание публикаций Анонимных Авторов, а также за то, чем делятся и что передают Авторы с помощью нашего Сайта и наших Сервисов, и не несем ответственность за любое оскорбительное, неуместное, непристойное, незаконное или спорное содержание, с которым вы можете столкнуться на нашем Веб-сайте и на наших Сервисах. REKT не несет ответственность за поведение, будь то онлайн или офлайн, любого пользователя нашего Веб-сайта или наших Сервисов.