Протокол Value DeFi - REKT 3

Дважды за неделю.

Value DeFi сошел с рельсов.

Пол года назад они потеряли $7 миллионов. Три дня назад они потеряли $10 миллионов.

** И вот они снова потеряли 11 миллионов долларов.**

Грубый, дикий rekt.

“Со-основательница” оказалась проплаченной актрисой, код был скопирован и неправильно использован, и в результате, Value DeFi оказался польностью уничтожен.

Будет ли третий раз последним, или же обезьяны продолжат прощать и забывать?

Что пошло не так с Value DeFi?

Приблизительно $11 миллионов было украдено из пулов vSwap AMM vSwap.

Инцидент произошел по причине неправильного использования сложной функции возведения в степень power(), стоящей в основе расчетов и усиления взвешенного постоянного инварианта продукта.

Все пулы, в которых ликвидность не делилась 50/50, подверглись эксплоиту.

Так как Uniswap поддерживает только пулы с соотношением активов 50/50, то Value DeFi использовал формулу Bancor для своих нестандартных пулов.

Исходная транзакция: 0x2fd0aaf0bad8e81d28d0ee6e4f4b5cbba693d7d0d063d1662653cdd2a135c2de

1. Перво-наперво, атакующий посылает небольшое количество второго токена на адрес пары.

2. Затем он проделывает обмен, в котором хочет вывести небольшое количество первого токена и большое количество второго токена.

3. Из-за неправильного применения формулы Bancor контракты пар считают обмен успешным (корень эксплоита).

Украденные фонды:

• 15k BNB
• 2.7k FARM
• 1.7k BASv2
• 8.5M BDO
• 68.3k BUSD
• 41.4k MDG
• 945k VBOND
• 1.2M BAC
• 11k FIRO

Источник: frankresearcher

Заметьте, что стандартная формула power() состоит из четырех аргументов (baseN, baseD, expN, и expD) и используется для расчета целочисленной аппроксимации (baseN/baseD)^(expN/expD)*(2^precision), где precision используется для вычисленного результата. Однако, в использовании этой функции power() есть оговорка. В ней делается явное предположение, что baseN должно быть не меньше, чем baseD, т.e., baseN >= baseD. В этой атаке функция swap() пула была вызвана с помощью сфабрикованного input, который намеренно нарушал это предположение. В результате, усиление взвешенного постоянного продукта было пройдено, в то время как фонды пула сливались.

Источник: peckshield

Несмотря на получение третьего места на нашей доске почета, собственный токен протокола Value DeFi немного выровнялся в цене после самого последнего эксплоита. Но на Nansen видно, что объем DEX значительно уменьшился.

Спасет ли еще один ребрендинг самый атакуемый протокол от потери всех своих пользователей, или для Value DeFi это конец?

Команда Value DeFi уверяла пользователей в безопасности платформы всего за несколько часов перед последним эксплоитом, сообщив в твите об усиленных мерах безопасности, эффект от которых, судя по всему, был нулевым.

Забегая вперед, трудно понять, как кто-то может доверять анонимным разработчикам, которые признались в том, что пользовались услугами актрисы с fiverr, чтобы та сыграла роль их основателя. А когда один из пользователей уличил их в этом, они ответили чем-то вроде этого:

Девушка, которая выступила в роли нашего сооснователя в этом видео, на самом деле наемная актриса. Но один из наших разработчиков однажды уже использовал этот онлайн-псевдоним, поэтому мы случайно нашли актрису с тем же именем на Fiverr, и она появилась в нашем видео!

Обезьяний налог оказался очень высок для пользователей Value DeFi, самого ненадежного протокола в DeFi. У кого могут вызвать сострадание пользователи таких вопиюще низкокачественных проектов?

Мы очень благодарны Value DeFi за всех новых пользователей, которых они нам принесли за последние месяцы, но мы надеемся, что этот раз будет последним.

Хоть мы и высмеиваем повторяющиеся неудачи основателей, деньги, которые были украдены, принадлежали не им. Если они планируют продолжать свои операции, то им придется потрудиться намного больше.

Вместо того, чтобы концентрироваться на фейковых сообщениях, сфокусируйтесь на реальной безопасности пользователей, а не нагромождайте бесполезные аудиты безопасности.

Или, может быть, пора закругляться и перестать подвергать риску средства пользователей.

Сможет ли Value DeFi безопасно закрыть свои операции, или мы вскоре станем свидетелями финального скама на выходе?

REKT представляет собой общественную площадку для анонимных авторов. Мы не несём ответственность за выражаемые точки зрения или контент на этом веб-сайте.

Пожертвование (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

Дисклеймер:

REKT не несет никакой ответственности за любое содержание, размещенное на нашем Веб-сайте или имеющее какое-либо отношение к оказываемым нами Услугам, независимо от того, было ли оно опубликовано или создано Анонимным Автором нашего Веб-сайта или REKT. Не смотря на то, что мы устанавливаем правила поведения и нормы публикаций для Анонимных Авторов, мы не контролируем и не несем ответственность за содержание публикаций Анонимных Авторов, а также за то, чем делятся и что передают Авторы с помощью нашего Сайта и наших Сервисов, и не несем ответственность за любое оскорбительное, неуместное, непристойное, незаконное или спорное содержание, с которым вы можете столкнуться на нашем Веб-сайте и на наших Сервисах. REKT не несет ответственность за поведение, будь то онлайн или офлайн, любого пользователя нашего Веб-сайта или наших Сервисов.