Большой ансамбль (Growth DeFi - REKT)
День сурка.
Загнали в угол, связали и обчистили.
Миллионы долларов исчезли, но никто и глазом не моргнул.
Похоже, что мы впервые слышим о некоторых из этих протоколов только тогда, когда они оказываются в свете прожектора из-за атаки хакеров, использующих старые добрые схемы нападения.
BT Finance? Growth DeFi? Малоизвестные протоколы из соседнего переулка - легкая добыча для серийных убийц, бесстрашно разгуливающих по этим улицам.
Мы уже через это проходили, схема вам известна. Манипулировать ценой, подать запрос на вывод прибыли и сорвать куш. Нет ничего нового под солнцем, зачем менять план, если он всегда работает?
BT Finance был обречен на провал, потому что, если бы хакер не добрался до них первым, то на него подали бы жалобу из-за авторских прав. Возможно, они это предвидели, судя по тому небольшому количеству пользователей, которых соблазнил их знойный слоган “Лучшая доходность по токенам”...
Когда вы вкладываете деньги в протокол, который пробует что-то новое, или конкурирует с тем, что уже есть на рынке, то идти на небольшой риск может быть оправдано. Но эти второсортные копипастные кусочки кода создаются простыми аферистами для них же, и не выглядят долгожителями.
Поэтому BT Finance и выбыл, ничего удивительного.
Полтора миллиона долларов. На раз-два, как забрать конфету у ребенка. Аудит Peckshield должен был сдерживать хакера или приободрить? Пока не ясно.
Growth DeFi огрёб немного больше.
В их продукте не было ничего нового, но они много работали и создали пользовательскую базу, прежде чем стать жертвой чуть более экзотической атаки, чем обычно.
Атакующему удалось вывести ликвидности на $1.3 миллиона. Он заставил стакерский контракт принять пару ликвидности, в которой был фальшивый токен.
Атакующий создал фальшивый токен AXZ и поставил пару ликвидности rAZZ/GRO. Затем он вложил ее в контракт в стакинг и вывел другую пару.
@r0bster97 описал атаку.
Обмен 0.001 $ETH на ~0.0148 $GRO
Поставка ~0.0148 $GRO и 100,000,000,000 $AXXZ ликвидности на Uniswap
Вывести ~27,516 $GRO и ~1,218 $rAAVE ликвидности с Uniswap.
“В коде смарт-контракта отсутствует условие if”
Обмен ~27,516 $GRO на ~597 $ETH на Uniswap.
Джекпот.
Команда Growth DeFi сделала полный анализ атаки на их страничке в Medium.
Две атаки, два подхода, результат один.
В сумме $2.7 миллиона; украдены практически безнаказанно.
Еще один обычный день на диком западе DeFi.
Деньги всегда идут в руки самых умных игроков, обманом или нет, не имеет значения.
Не перекладывайте ответственность за свою бдительность на аудит, проверяйте код сами или доверьте его тем, кто умеет это делать.
Все, что может сделать обычный парень в игре, в которой игроки поумнее стараются перехитрить друг друга, это действовать осторожно.
REKT представляет собой общественную площадку для анонимных авторов. Мы не несём ответственность за выражаемые точки зрения или контент на этом веб-сайте.
Пожертвование (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
Дисклеймер:
REKT не несет никакой ответственности за любое содержание, размещенное на нашем Веб-сайте или имеющее какое-либо отношение к оказываемым нами Услугам, независимо от того, было ли оно опубликовано или создано Анонимным Автором нашего Веб-сайта или REKT. Не смотря на то, что мы устанавливаем правила поведения и нормы публикаций для Анонимных Авторов, мы не контролируем и не несем ответственность за содержание публикаций Анонимных Авторов, а также за то, чем делятся и что передают Авторы с помощью нашего Сайта и наших Сервисов, и не несем ответственность за любое оскорбительное, неуместное, непристойное, незаконное или спорное содержание, с которым вы можете столкнуться на нашем Веб-сайте и на наших Сервисах. REKT не несет ответственность за поведение, будь то онлайн или офлайн, любого пользователя нашего Веб-сайта или наших Сервисов.