Протокол Skyward Finance - REKT

Устремленный к небесам протокол Skyward Finance рухнул на землю.

Из казны платформы для выпуска токенов на базе блокчейна NEAR вывели 1.1M NEAR, стоимостью приблизительно $3.2 миллиона на момент атаки.

Из-за эксплоита цена SKYWARD резко упала на ~90%:

Вместо обычных заявлений о том, что ситуация под контролем и преуменьшения ущерба в своем объявлении команда признает, что эксплоит “сводит стоимость Казны и токена $SKYWARD практически к нулю.”

Далее они объясняют, что контракты находятся в полной сохранности и уверяют все проекты, проводящие на данный момент запуски на платформе, что "текущие и прошедшие продажи не пострадали, поэтому фонды и выручку можно выводить без риска для безопасности."

Однако, для держателей Skyward новости были не такими радостными:

Мы рекомендуем пользователям безопасно вывести свои средства, если это возможно, а сообществу больше не взаимодействовать со Skyward.

Был ли этот инцидент честной, хотя и глупой, ошибкой?

Или спланированным катапультированием?

Источник: Sanket Naikwadi, BlockSec

Вчера, в 5 часов и несколько минут по UTC эксплоитер обменял (ранее накопленные) SKYWARD на wNEAR из казны с помощью функции redeem_skyward.

Но в этой функции отсутствует надлежащая верификация параметра token_account_ids, что позволило злоумышленнику зациклить обмен wNEAR, многократно проводя свой вывод внутри транзакции.

Эксплоитер повторял процесс обмена до тех пор, пока в казне больше не осталось wNEAR.

Адрес эксплоитера: 5ebc5ecca14a44175464d0e6a7d3b2a6890229cd5f19cfb29ce8b1651fd58d39

Транзакция атаки: 92Gq7zeh…

Тот факт, что кому-то потребовалось более года, чтобы обнаружить этот относительно простой эксплойт, просто поразителен.

Возможно, хакеры не так хорошо знакомы с экосистемой NEAR и считают, что их время и ресурсы можно применить с большей пользой в другом месте...

Или, может быть, это был спланированный выход-через-эксплоит, и пользователи не зря беспокоились перед запуском…

Это первая отметка в рейтинге (#88) для проекта на базе NEAR; будем надеяться, что мы сможем чему-то научиться благодаря этому инциденту...

Стремясь к небесам (Skyward), не летать слишком близко (NEAR) к солнцу.

REKT представляет собой общественную площадку для анонимных авторов. Мы не несём ответственность за выражаемые точки зрения или контент на этом веб-сайте.

Пожертвование (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

Дисклеймер:

REKT не несет никакой ответственности за любое содержание, размещенное на нашем Веб-сайте или имеющее какое-либо отношение к оказываемым нами Услугам, независимо от того, было ли оно опубликовано или создано Анонимным Автором нашего Веб-сайта или REKT. Не смотря на то, что мы устанавливаем правила поведения и нормы публикаций для Анонимных Авторов, мы не контролируем и не несем ответственность за содержание публикаций Анонимных Авторов, а также за то, чем делятся и что передают Авторы с помощью нашего Сайта и наших Сервисов, и не несем ответственность за любое оскорбительное, неуместное, непристойное, незаконное или спорное содержание, с которым вы можете столкнуться на нашем Веб-сайте и на наших Сервисах. REKT не несет ответственность за поведение, будь то онлайн или офлайн, любого пользователя нашего Веб-сайта или наших Сервисов.