Собственный протокол стабильной монеты Polygon QiDAO столкнулся с эксплойтом в своем контракте на наделение полномочиями Superfluid, что привело к падению цены управляющего токена QI на 65%. Цена QI упала с $1.24 до $0.18.
QiDAO взяла на себя Twitter во вторник, чтобы признать эксплойт в контракте на наделение полномочиями Superfluid, но заверить, что средства пользователей в безопасности и никакие средства из QiDAO не пострадали. Superfluid также подтвердил эксплойт в QiDAO и заявил, что расследует ситуацию и обновит ее соответствующим образом. Протокол позволяет пользователям перемещать активы по цепочке в постоянном потоке в режиме реального времени из одного кошелька в другой.
Сегодня в 6.48:XNUMX по Гринвичу мы были уведомлены о потенциальной уязвимости контракта QiDAO, использующего код Superfluid. Мы расследуем инцидент и будем держать вас в курсе в этой ветке и на нашем сервере Discord.
— Сверхжидкость (@Superfluid_HQ) 8 февраля 2022
Хотя это не повлияло на средства пользователя, хакерам, стоящим за атакой, удалось уйти с токенами на сумму 20 миллионов долларов, включая 24 WETH, 562,000 44 USDC, 1.5 SDT, 23,000 миллиона MOCA, 40,000 3 STACK и почти XNUMX XNUMX sdamXNUMXCRV. Ранняя информация предполагала, что украденные средства принадлежали некоторым из первых сторонников проекта, а также включали токены, принадлежащие команде.
Криптоаналитическая группа SlowMist создала трекер средств с балансом каждого украденного токена. Проанализировав данные транзакций кошелька, они подсчитали, что хакерам удалось украсть криптовалюты на сумму около 13 миллионов долларов.
Хакеры, стоящие за атакой, начали сбрасывать украденный QiDAO на Quickswap DEX с высоким проскальзыванием, что привело к снижению цены токена управления на 65%. Сообщество Polygon воспользовалось возможностью, чтобы купить падение, которое уже помогло токену управления подняться до 0.6 доллара после падения ниже 0.18 доллара. Важно отметить, что эксплойт осуществлялся с использованием уязвимости в Superfluid, а QiDAO не эксплуатировался.
Контракт на $ QI под сверхтекучей эксплуатацией (эксплуатируются только средства от ранних заблокированных инвесторов) Все хранилища безопасны. Средства безопасны
Купил падение/эксплуатацию, сильная команда + сильные основы, купит весь гребаный пул, если бы не проблема с ликвидностью. https://t.co/NDBm3cNzxo
— Джаспер (@JunHao_yo) 8 февраля 2022
QiDAO временно приостановила свой мост после эксплойта и надеялась решить проблему в ближайшее время. Эксплойт появляется в течение 24 часов после сбора средств Polygons в размере 450 миллионов долларов, однако сообщество продемонстрировало огромную поддержку собственного протокола стейблкоина и подчеркнуло, что это произошло из-за сторонней уязвимости, а не из-за проблемы с протоколом стейблкоина.
Источник: https://cointelegraph.com/news/polygon-stablecoin-qidao-exploited-for-13m-on-superfluid-vested-contract.