Een opbrengstautomatiseringsprotocol op Arbitrum werd tijdens het weekend misbruikt bij een incident dat versterkt het saldo van de hacker van hun stablecoin Sperax (USDS) in Amerikaanse dollar.
Maar in een plotwending zei het team dinsdag dat al het geld was teruggegeven - wijzend op een $ 300,000 USDC transactie - en dat Sperax binnenkort een tijdlijn zou geven om SperaxUSD-overdrachten te hervatten.
De "hybride" stablecoin, die zijn gebruikers voor het eerst op de hoogte bracht van de aanval op zondag, publiceerde eind maandag een rapport met details over wat er gebeurde.
Hoewel SperaxUSD de persoon in zijn rapport een "aanvaller" noemt, heeft het team afzonderlijk in een tweet gezegd dat de persoon die aan het adres is gekoppeld, "geen hacker”, en dat het beloofde geen actie te ondernemen als het geld zou worden terugbetaald.
Het team zei dat de uitbuiter misbruik maakte van een interne bug in het USDS-tokencontract om het saldo te wijzigen in 9.7 miljard op een multi-sig-portemonnee.
Voordat het team het contract kon blokkeren, slaagde de aanvaller erin om ongeveer $ 309,000 USD om te wisselen naar USDT, USDC en WETH.
SperaxUSD zei dat het op 13 december het tokencontract had geüpgraded om een probleem bij de berekening van saldi op te lossen, dat onverenigbaarheden met DEX'en veroorzaakte.
De exploit begon toen de aanvaller geld naar een Gnosis Safe-adres stuurde, een smart contract-portemonnee met meerdere handtekeningen, die een bug veroorzaakte in het tokencontract van USD. Zo sprong het saldo naar 9.7 miljard tokens.
De aanvaller begon vervolgens USD's te verkopen op Arbitrum, waarschijnlijk 10,000 per keer. Ongeveer drie uur na de aanval kon het SperaxUSD-team de actie pauzeren.
Houders van het USDs-token hebben twee soorten tokens: rebasen (waarbij het aanbod wordt aangepast om de prijs te beheersen) en niet-rebasen. Dit betekent dat het USDs-saldo van een rebasehouder automatisch toeneemt bij een rebase, die wekelijks wordt geactiveerd.
“Ook al doorlopen alle contracten die we ontwikkelen meerdere beoordelingsrondes en grondige tests, toch hebben we deze edge case gemist. We hebben het gevoel dat de aanvaller gewoon aan het experimenteren was met het contract, aangezien de geüpgradede code niet is gepubliceerd, maar hij/zij heeft een nieuwe bug ontdekt, het had een nog ergere situatie kunnen zijn (als het gepland was)”, aldus het team.
Ontvang elke avond het beste cryptonieuws en inzichten van de dag in uw e-mail. Abonneer u op de gratis nieuwsbrief van Blockworks .
Wilt u dat alfa rechtstreeks naar uw inbox wordt gestuurd? Ontvang degen-handelsideeën, bestuursupdates, tokenprestaties, niet te missen tweets en meer van De dagelijkse debriefing van Blockworks Research.
Kan je niet wachten? Ontvang ons nieuws op de snelst mogelijke manier. Ga met ons mee op Telegram en volg ons op Google Nieuws.
Bron: https://blockworks.co/news/arbitrum-stablecoin-exploit-happy-ending