Хакер использовал $2,7 тыс для кражи $15,8 млн из Team Finance
Team Finance подверглась эксплойту, в ходе которого хакер вывел из протокола токены на сумму 15,8 миллиона долларов. Злоумышленник воспользовался недостатками в функции миграции Team Finance для перемещения заблокированных токенов ликвидности. Атака потребовала с его стороны всего 2700 долларов.
Team Finance — это платформа DeFi, которая помогает другим проектам блокировать свою ликвидность. Это делается для снижения риска того, что известно как «вытягивание ковра» — когда ликвидность проекта изымается, что приводит к падению стоимости токена.
По данным PeckShield, злоумышленник нацелился на токены ликвидности, находящиеся под охраной Team Finance. Атака затронула четыре проекта, а именно CAW (A Hunters Dream), Dejitaru Tsuka, Kondux и Feg. CAW больше всего пострадал от инцидента, когда злоумышленник забрал токены ликвидности на сумму 11,5 миллионов долларов.
Team Finance подтвердила инцидент, заявив, что злоумышленник использовал проверенную функцию миграции с версии 2 на версию 3. PeckShield заявил, что недостаток в функции миграции позволил хакеру манипулировать ценой токенов ликвидности при переходе с версии 2 на версию 3. Такой перекос цен позволил злоумышленнику получить значительную прибыль после завершения процесса миграции.
«Мы временно приостановили всю деятельность через командные финансы, пока не убедимся, что этот эксплойт устранен. Все средства, которые в настоящее время находятся в Team Finance, не подвергаются дальнейшему риску этой уязвимости», — заявила Team Finance.
Злоумышленник использовал 1,76 ETH ($2700) для запуска атаки, отмечает PeckShield. На адресе кошелька злоумышленника по-прежнему хранятся доходы от эксплойта, в том числе $6,43 млн в стейблкоинах DAI и 880 ETH (на 1,36 миллиона долларов).
Team Finance также призвала хакера связаться с ним, чтобы договориться о выплате вознаграждения. Такие механизмы становятся обычным явлением в пространстве DeFi на фоне потока недавних громких взломов и эксплойтов.
Team Finance присоединяется к ряду протоколов DeFi, которые в октябре столкнулись со злонамеренными уязвимостями, и этот месяц обещает стать рекордным по инцидентам с криптобезопасностью. Ранее в этом месяце Mango Markets пострадала от эксплойта на 114 миллионов долларов, и злоумышленник заявил, что это была просто «высокодоходная торговая стратегия».