Протокол Vee Finance - REKT

Кража $34 миллионов у Vee Finance обеспечила им 7-ю строчку в нашем рейтинге.

По мере роста популярности AVAX количество связанных с ним преступлений тоже увеличивается. Это второе существенное поражение в сети Avalanche за месяц.

12 сентября протокол Zabu Finance потерял ~$3.2M. Небольшая сумма по сравнению с сегодняшней потерей, но все же это огромная добыча для тех, кто не привык иметь дело с характерной для DeFi драмой.

То, что нормально для нас, нигде больше нормальным не считается.

Украдено 34 миллиона долларов, но это всего лишь один случай из многих.

Адрес эксплоитера в ETH: 0xeeee458c3a5eaafcfd68681d405fb55ef80595ba

Адрес эксплоитера в AVAX: 0xeeeE458C3a5eaAfcFd68681D405FB55Ef80595BA

На адрес эксплоитреа на Ethereum фонды поступили через TornadoCash тремя партиями по 10 ETH: ОДИН, ДВА, ТРИ.

Затем фонды были переведены через мост на Avalanche, где хакер обменял 26.999006274904347875 WETH.e на 1,369.708 AVAX через Pangolin.

Затем хакер развернул контракт 1 эксплоита и сперва использовал его для свопа AVAX на нужные ему токены, а потом для создания следующих трейдинговых пар:

QI/WETH.e

XAVA//WETH.e

LINK.e/WETH.e

QI/LINK.e

XAVA/LINK.e

XAVA/WBTC.e

LINK.e/WBTC.e

Как только в контракт атаки поступили фонды в размере 20 AVAX на 5 адресов, подготовка была закончена и эксплоит мог быть приведен в действие.

После первой неудачной попытки из-за недостаточного количества газа, хакер смог использовать динамичный контракт, чтобы провести трейдинг с кредитным плечом для пары QI/WETH.e, прежде чем снова потерпел неудачу.

После развертывания нового контракта атаки были проделаны те же шаги, на этот раз успешно.

Повторяющиеся трейды из USDT.e в ETH.e были проведены через AugustusSwapper.

Затем была развернута третья атака.

В момент трейдинга с кредитным плечом VeeFinance использует всего один оракул исходных цен: цены активов в пулах Pangolin. С помощью трейдинга этих только что созданных пар, хакер получил возможность манипулировать предоставленными Vee Finance ценами.

Эта манипуляция, вместе с тем фактом, что получение цены обрабатывалось без знаков после запятой сделали возможным одобрение транзакций, которые при обычных обстоятельствах не прошли бы проверку протоколом на проскальзывание.

Для более детального анализа эксплоита ознакомьтесь со вторым пост-мортемом Vee Finance того же дня.

Украденные фонды были переведены через мост обратно в Эфириум во время и после атаки, с помощью серии из более чем 100 транзакций. Например, вот эта транзакция.

В Эфириум-кошельке эксплоитера на данный момент содержится в общей сложности 214 WBTC ($9.3 M) и 8,804 WETH ($26.9M)

Согласно отчету об инциденте Vee Finance “Команда VEE активно работает над прояснением деталей инцидента и будет продолжать попытки войти в контакт с хакером, чтобы вернуть активы”. Команда призывает хакера принять баг-баунти.

Команда послала на оба адреса атаковавшего, Ethereum и Avalanche, транзакцию со следующим сообщением, и также написала в Twitter:

Привет, это команда vee.finance. Мы хотим запустить программу баг-баунти для найденного вами бага, пожалуйста, свяжитесь с нами: contact@vee.finance.

В других входящих транзакциях тоже содержались сообщения, начиная от предупреждений:

Команда выследила ваш адрес

До саморекламы:

Привет, это @yannickcrypto, пожалуйста, подпишись на меня в твиттере: https://twitter.com/yannickcrypto_

И до откровенного попрошайничества он-чейн:

Большой человек, пришли немного бедному человеку, которому нечего есть

На момент публикации ответа от Большого человека так и не последовало.

Vee Finance проигнорировали рекомендации, данные им после аудита Slowmist. Аудит, который они прошли в Certik, тоже им особо не помог.

У любого проекта, который появляется в "памп-группах", таких как эта, дела идут совсем плохо.

Увидим ли мы V-образное восстановление, или же все ценности исчезли навсегда?

Пожалуйста, учитывайте работу вашего анонимного автора, когда даете имена своим протоколам.

Если вам нравится то, что мы делаем, мы будем благодарны за ваши пожертвования в наш грант Gitcoin.

REKT представляет собой общественную площадку для анонимных авторов. Мы не несём ответственность за выражаемые точки зрения или контент на этом веб-сайте.

Пожертвование (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

Дисклеймер:

REKT не несет никакой ответственности за любое содержание, размещенное на нашем Веб-сайте или имеющее какое-либо отношение к оказываемым нами Услугам, независимо от того, было ли оно опубликовано или создано Анонимным Автором нашего Веб-сайта или REKT. Не смотря на то, что мы устанавливаем правила поведения и нормы публикаций для Анонимных Авторов, мы не контролируем и не несем ответственность за содержание публикаций Анонимных Авторов, а также за то, чем делятся и что передают Авторы с помощью нашего Сайта и наших Сервисов, и не несем ответственность за любое оскорбительное, неуместное, непристойное, незаконное или спорное содержание, с которым вы можете столкнуться на нашем Веб-сайте и на наших Сервисах. REKT не несет ответственность за поведение, будь то онлайн или офлайн, любого пользователя нашего Веб-сайта или наших Сервисов.