MonoX - REKT
Kendi tokenları ile rekt oldular.
Projenin yerel tokenı MONO'nun fiyat manipülasyonu yoluyla iki zincirde 31 milyon dolardan fazla çalındı.
Geçen ay Polygon ve Ethereum'da piyasaya sürülen MonoX, tek token likidite havuzlarına dayalı bir DEX'tir. LP'ler (likidite sağlayıcıları) tarafından yatırılan eşleştirilmiş varlıkların standart havuz modeli yerine, MonoX havuzları, yatırılan bir tokenı "sanal stable coin (vCASH) ile sanal bir çift halinde" gruplayarak çalışır.
MonoX'in sanal havuz modelinin getirdiğini iddia ettiği avantajlardan biri, geliştirilmiş swap yönlendirmesiydi.
Bir fiyatlandırma hatasını manipüle ederek, platformun yerel tokenının fiyatını şişirmeyi başaran ve yatırılan diğer tokenlara bunu akıtıp bir nakit çıkışı yapabilen günümüzün hacker’ı için ne kadar da elverişli bir durum.
İki saldırı, protokolü hızlı bir şekilde art arda vurdu.
İlk olarak, Polygon'da yaklaşık 19.4 milyon dolar çalındı ve sadece 17 dakika sonra, aynı saldırı vektörü Ethereum'da kullanıldı ve yaklaşık 12 milyon dolar civarı daha alındı.
Ekip, Telegram'daki MonoX Duyurular kanalı ve daha sonra Twitter aracılığıyla bir açıklama yaptı.
....Swap kontratındaki bir method istismar edilerek MONO token fiyatı çok yükseklere çıkarıldı ve sonrasında saldırgan havuzdaki diğer tüm varlıkları satın almak için $MONO kullandı...
...Ayrıca "saldırgan" ile iletişim kurma şansına sahip olmayı gerçekten istiyoruz. şimdiki ve gelecekteki MonoX için ürettiklerimize ve en önemlisi kullanıcılarımıza ve fonlarına çok değer veriyoruz; LÜTFEN bize ulaşın!
Kaynak: @BlockSecTeam
Protokolün yakın zamanda piyasaya sürülen MONO tokenı istismarda kullanıldı. Hacker, Monoswap kontratındaki (Polygon, Ethereum) swapTokenForExactToken kodundaki bir hata nedeniyle değerini büyük ölçüde şişirebildi.
_updateTokenInfo fonksiyonu, MonoX havuzları aracılığıyla yapılan swapların ardından token fiyatlarını güncellemek için kullanıldı. Ancak, hem tokenIn hem de tokenOut için aynı varlığın kullanımını kısıtlayacak hiçbir şey yoktu.
Hacker, platformun yerel tokenıyla bunu yaparak, tokenOut fiyatının tokenIn fiyatının üzerine yazacağı ve birçok "swap" sırasında MONO fiyatını şişireceği bir döngü yarattı.
Fiyat manipüle edildikten sonra saldırgan, platformun tek token likidite havuzlarına yatırılan neredeyse tüm diğer tokenler için aşırı değerli MONO'yu nakite çevirdi.
Hem Halborn hem de Peckshield, Monoswap sözleşmesinin denetimlerini gerçekleştirdi. İkisi de bu basit hatayı nasıl gözden kaçırdılar? Kasıtlı mıydı, yoksa sadece dikkatsizlik miydi?
Toplam çalınan varlıklar:
5,7M MATIC ($10,5M)
3,9k WETH ($18,2M)
36,1 WBTC ($2M)
1,2k LINK ($31k)
3,1k GHST ($9,1k)
5,1M DUCK ($257k)
4,1k MIM ($4.1k)
274 IMX ($2k)
Exploit işlemi: Polygon, Ethereum.
Exploit kontratları: Polygon, Ethereum
Çalınan fonlar: Polygon-($19,4M), Ethereum-($12M) (toplamda $31,4M)
Henüz bir aylık bir protokolde 30 milyon dolardan fazla kayıp. Aslında proje, istismardan sadece 3 gün önce 30 milyon dolarlık TVL'yi geçmişti.
Projelerin artık değer kazanabilme hızı etkileyici olsa da, DeFi'a yatırım yapmanın getirdiği güvensizlik, alanın olgunlaşmamışlığının açık bir göstergesidir.
Zamanla, bunun gibi kayıplar, en iyi uygulamaların oluşturulabilmesi için deneyim ve bilgi temeli oluşturur.
Ancak şimdilik deneyler sürdürülmeye devam edecek.
Ve bazıları bildiğimiz gibi başarısız olacak.
REKT, anonim yazarlar için halka açık bir platform olarak hizmet eder, REKT'te bulunan görüşler veya içerik için hiçbir sorumluluk kabul etmiyoruz.
bağış yap (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
sorumluluk reddi:
REKT, Web Sitemizde veya hizmetlerimizle bağlantılı olarak web sitemizin ANON yazarı veya REKT tarafından gönderilen, yayınlanan veya neden olunan hiçbir içerikten hiçbir şekilde sorumlu veya yükümlü değildir. Anon yazarın davranışları ve gönderileri için kurallar sağlamamıza rağmen, onun web sitemizde veya hizmetlerimizde yayınladığı, ilettiği veya paylaştığı şeylerden sorumlu değiliz veya web sitemizde ve hizmetlerimizde karşılaşabileceğiniz herhangi bir saldırgan, uygunsuz, müstehcen, yasa dışı veya başka şekilde sakıncalı olan içerikten sorumlu değiliz. REKT, Web Sitemizin veya Hizmetlerimizin herhangi bir kullanıcısının çevrimiçi veya çevrimdışı davranışlarından sorumlu değildir.
bunu da beğenebilirsin...
LEVEL FINANCE - REKT
Level Finance level atladı. Dün BSC tabanlı perp platformundan 1,1 milyon dolarlık üye getirme ödülü çalındı. ilk olarak bir hafta önce saldırı girişiminde bulunuldu, ancak görünüşe göre kimse fark etmedi. Erken bir uyarı acaba Level'i kurtarabilir miydi?
MERLIN DEX - REKT
Merlin klasik DeFi sihir numarasını yapınca 1,8 milyon dolar birdenbire puf diye kayboldu. zksync-native DEX, Certik ile denetimini yeni tamamlamıştı. Bu kadar kolay rug’lanabilen bir protokole nasıl yeşil ışık yakılabilir? Yoksa kullanıcılar da mı suçlu?
Hundred Finance - REKT 2
15 Nisan'da Hundred Finance, Optimism'de 7.4 milyon dolarlık bir istismara maruz kaldı. Bu, Agave DAO ve Meter ile aynı sahneyi paylaştıktan sonra protokolün ilk solo makalesidir. Hundred'ın liderlik tablosu toplamı şu anda 16,9 milyon dolara ulaştı... peki bu seferkinin sebebi neydi?