Skyward Finance - 翻车

名字里寓意着向天而行的Skyward Finance已经坠落到地面。

这个基于NEAR的代币发行平台（launchpad）的金库被盗走了110万NEAR，当时价值约320万美元。

这个漏洞导致SKYWARD的价格下跌了约90%。

该团队的公告没有像往常其他项目一样进行损失控制，也没有试图淡化问题。而是承认该漏洞"使金库和SKYWARD代币变得毫无价值"。

并继续解释说，合约是完全不可更改的，Skyward向目前通过平台发布的任何项目保证，"现有的和以前的销售活动不受影响，资金和收益可以安全提取。"

但是，对于Skyward的持有人来说，并没有这样的好消息。

我们建议用户在可能的情况下安全提取他们的资金，并建议社区不再与Skyward交互。

这一事件是一个诚实的，但简单的错误？

还是一个有计划的弹射起飞（座椅）？

信息来源：Sanket Naikwadi, BlockSec

昨天下午5点（UTC）后不久，黑客使用redeem_skyward函数将（之前积累的）SKYWARD赎回为金库中的wNEAR。

然而，该函数缺乏对token_account_ids参数的适当验证，黑客通过在交易中重复传递他们的提款来循环赎回wNEAR。

黑客重复着有漏洞的赎回过程，直到金库里的wNEAR被榨干。

黑客的地址：5ebc5ecca14a44175464d0e6a7d3b2a6890229cd5f19cfb29ce8b1651fd58d39

攻击交易: 92Gq7zeh...

花了一年多的时间，才有人发现这个相对简单的漏洞，这一点很了不起。

也许黑客们对NEAR生态系统不太熟悉，觉得他们的时间和资源可以在其他地方得到更好的利用......

或者，这是个早有计划的退出漏洞，用户在项目启动前的担忧是正确的......

这是第一个基于NEAR的上榜项目（第88位）；但愿我们能从它身上学到一些教训......

当向天空（Skyward）前进时，不要离太阳太近（NEAR）。

REKT作为匿名作者的公共平台，我们对REKT上托管的观点或内容不承担任何责任。

捐赠 (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

声明:

REKT对我们网站上发布的或与我们的服务相关的任何内容不承担任何责任，无论是由我们网站的匿名作者，还是由 REKT发布或引起的。虽然我们为匿名作者的行为和发文设置规则，我们不控制也不对匿名作者在我们的网站或服务上发布、传输或分享的内容负责，也不对您在我们的网站或服务上可能遇到的任何冒犯性、不适当、淫秽、非法或其他令人反感的内容负责。REKT不对我们网站或服务的任何用户的线上或线下行为负责。