Пт. Дек 27th, 2024

Неизвестный использовал уязвимость в DeFi-протоколе Team Finance и вывел криптовалютные активы на $15,8 млн.

По данным специалистов PeckShield, злоумышленник использовал баг в функции миграции токенов. Он отправлял реальную ликвидность из Uniswap V2 в новые пары на третьей версии протокола с «искаженной» ценой, возвращая «огромную прибыль».

Для реализации атаки ему понадобилось всего 1,76 ETH стоимостью ~$2730 на момент написания. Злоумышленник перевел средства с автоматизированной криптобиржи FixedFloat.

В результате неизвестный вывел из Uniswap V2:

  • ~$15,4 млн в токенах Hunters Dream (CAW);
  • ~$1,7 млн в Dejitaru Tsuka (TSUKA);
  • ~$2,6 млн в WETH.

Команда Team Finance подтвердила инцидент и заявила, что используемая злоумышленником функция прошла аудит. Разработчики начали расследование и предложили хакеру обсудить возврат средств за вознаграждение.

«Мы временно приостанавливаем все операции через Team Finance, пока не убедимся, что эксплойт устранен. Все находящиеся сейчас в протоколе средства не подвергаются дальнейшему риску из-за этой уязвимости», — добавила команда.

Напомним, 12 октября злоумышленники вывели с торговой и кредитной DeFi-платформы Mango Markets цифровые активы на сумму около $116 млн, манипулируя оракулами. Один из участников атаки, Авраам Айзенберг, назвал действия группы допустимой реализацией высокодоходной стратегии трейдинга.

Сообщество Mango Markets одобрило соглашение, по которому хакеры вернут $69 млн и оставят себе $47 млн в качестве вознаграждения.