โปรโตคอลการให้ผลตอบแทนอัตโนมัติบน Arbitrum ถูกใช้ประโยชน์ในช่วงสุดสัปดาห์ที่ผ่านมาในเหตุการณ์ที่ เพิ่มขึ้น ยอดเงินของแฮ็กเกอร์ในสกุลเงิน Stablecoin สกุลดอลลาร์สหรัฐ Sperax (USDS) ของพวกเขา
แต่ด้วยแผนการที่พลิกผัน ทีมงานกล่าวว่าเมื่อวันอังคารที่ผ่านมา เงินทั้งหมดถูกส่งคืนแล้ว — ชี้ไปที่ $300,000 USDC การทำธุกรรม — และในไม่ช้า Sperax จะให้ลำดับเวลาเพื่อดำเนินการโอน SperaxUSD ต่อ
Stablecoin “ไฮบริด” ซึ่งแจ้งเตือนผู้ใช้ครั้งแรกเกี่ยวกับการโจมตีในวันอาทิตย์ ได้เผยแพร่รายงานเมื่อปลายวันจันทร์โดยระบุรายละเอียดว่าเกิดอะไรขึ้น
แม้ว่าในรายงานของ SperaxUSD จะเรียกบุคคลนั้นว่า “ผู้โจมตี” แต่ทีมงานได้ระบุในทวีตว่าบุคคลที่เกี่ยวข้องกับที่อยู่นี้คือ “ไม่ใช่แฮ็กเกอร์,” และให้คำมั่นว่าจะไม่ดำเนินการใด ๆ หากมีการคืนเงิน
ทีมงานกล่าวว่าผู้โจมตีใช้ประโยชน์จากข้อบกพร่องภายในของสัญญาโทเค็น USDS เพื่อเปลี่ยนยอดคงเหลือเป็น 9.7 พันล้านในกระเป๋าเงินแบบ multi-sig
ก่อนที่ทีมจะบล็อกสัญญาได้ ผู้โจมตีสามารถแลกเปลี่ยนเงินประมาณ 309,000 ดอลลาร์สหรัฐฯ เป็น USDT, USDC และ WETH
SperaxUSD กล่าวว่าเมื่อวันที่ 13 ธันวาคม ได้อัปเกรดสัญญาโทเค็นเพื่อแก้ไขปัญหาในการคำนวณยอดคงเหลือ ซึ่งทำให้เกิดความเข้ากันไม่ได้กับ DEX
การใช้ประโยชน์เริ่มจากการที่ผู้โจมตีส่งเงินไปยังที่อยู่ Gnosis Safe ซึ่งเป็นกระเป๋าเงินสัญญาอัจฉริยะแบบหลายลายเซ็น ซึ่งทำให้เกิดข้อบกพร่องในสัญญาโทเค็น USDs นั่นทำให้ยอดคงเหลือเพิ่มขึ้นเป็น 9.7 พันล้านโทเค็น
จากนั้นผู้โจมตีก็เริ่มขาย USDs บน Arbitrum ครั้งละ 10,000 เหรียญ ประมาณสามชั่วโมงหลังจากการโจมตี ทีม SeraxUSD สามารถหยุดการกระทำชั่วคราวได้
ผู้ถือโทเค็น USDs มีโทเค็นสองประเภท: การรีเบส (โดยที่อุปทานถูกปรับเป็นราคาควบคุม) และการไม่รีเบส ซึ่งหมายความว่ายอดคงเหลือ USDs ของผู้ถือการรีเบสจะเพิ่มขึ้นโดยอัตโนมัติเมื่อมีการรีเบส ซึ่งจะเริ่มทำงานทุกสัปดาห์
“แม้ว่าสัญญาทั้งหมดที่เราพัฒนาจะผ่านการตรวจสอบหลายรอบและทดสอบอย่างละเอียด เราก็ยังพลาดกรณีนี้ เรารู้สึกว่าผู้โจมตีเพียงแค่ทดลองใช้สัญญาเนื่องจากไม่มีการเผยแพร่โค้ดที่อัปเกรด อย่างไรก็ตาม เขา/เธอค้นพบข้อบกพร่องใหม่ อาจเป็นสถานการณ์ที่เลวร้ายยิ่งกว่า (หากมีการวางแผนไว้)” ทีมงานกล่าว
รับข่าวสารและข้อมูลเชิงลึกเกี่ยวกับการเข้ารหัสลับประจำวันที่ส่งถึงอีเมลของคุณทุกเย็น สมัครรับจดหมายข่าวฟรีของ Blockworks ขณะนี้
ต้องการอัลฟ่าส่งตรงถึงกล่องจดหมายของคุณหรือไม่ รับแนวคิดการค้า degen การอัปเดตการกำกับดูแล ประสิทธิภาพของโทเค็น ทวีตที่พลาดไม่ได้ และอีกมากมายจาก สรุปรายวันของ Blockworks Research.
ไม่สามารถรอ? รับข่าวสารของเราได้เร็วที่สุด มาร่วมกับเราทางโทรเลข และติดตามเราได้ที่ Google News.
ที่มา: https://blockworks.co/news/arbitrum-stablecoin-exploit-happy-ending