LEVYATHAN - 翻车



又有一个项目的TVL被神秘怪物抓走了。

Levyathan.finance上周沉没了,连同其150万美元的TVL。

此后,该团队发布了几条语气平和的推文和冗长的Medium文章,试图转移责任,但我们会告诉你我们是如何看待它的。

Levyathan的开发者将一个有造币能力的钱包私钥留在了Github上。

大约四个月后,这些私钥被用来铸造并且砸盘LEV。

之后,当用户试图赎回他们剩下的钱时,提款机制中的一个错误意味着他们毫无价值的代币也无法挽回了......

“祝你今天愉快”

Levyathan管理员

当你意识到他们让任何人都可以很容易地铸造他们的代币时,看他们的官方事后总结(https://levyathan-index.medium.com/post-mortem-levyathan-c3ff7f9a6f65)几乎无关痛痒。

由于该漏洞,用户被迫使用emergencyWithdraw()来试图取回他们的抵押代币。

然而,emergencyWithdraw()逻辑包含一个错误,它引用了 rewardDebt(一个与奖励计算有关的变量)而不是user.amount作为要提取的代币数量。

一些快速以这种方式取款的用户注意到他们收到的代币比预期的多,于是继续提取越来越多的LEV,耗尽了合约,没有给后来者留下任何东西。

在他们的事后总结中,Levyathan提供了一个地址,用户可以 "以匿名的方式 "归还资金,该地址已经收到了30亿dog tokens和一个PLUGANAL。

该团队后来又提供了第二个地址,到目前为止已经收到了~15万个BUSD(来自Levyathan团队提供的第一个地址)。

真是屎一般的表演。

在公共仓库中留下清晰标记的私钥是不可想象的。

特别是当他们授予对你的协议的原生代币的完全控制权(没有多签)。

在他们最近一次笨拙的沟通中,Levyathan团队指出,由于私钥是公开的,我们可以确定 "这不是一次内鬼工作"。

在他们这么说之前,我们一直认为他们是无能的,但是Levyathan团队会不会愚蠢到试图把这个 "公开私钥 "的情况作为不在场证明?

由你决定...


分享本文

REKT作为匿名作者的公共平台,我们对REKT上托管的观点或内容不承担任何责任。

捐赠 (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

声明:

REKT对我们网站上发布的或与我们的服务相关的任何内容不承担任何责任,无论是由我们网站的匿名作者,还是由 REKT发布或引起的。虽然我们为匿名作者的行为和发文设置规则,我们不控制也不对匿名作者在我们的网站或服务上发布、传输或分享的内容负责,也不对您在我们的网站或服务上可能遇到的任何冒犯性、不适当、淫秽、非法或其他令人反感的内容负责。REKT不对我们网站或服务的任何用户的线上或线下行为负责。