" Децентрализованный протокол долларового стейблкоина Raft утверждает, что, несмотря на многочисленные проверки безопасности, фирма все же пострадала от взлома безопасности, который привел к потере 6,7 миллионов долларов на прошлой неделе.
«Нам известно о потенциальной уязвимости безопасности. В настоящее время мы проводим расследование и предоставим обновленную информацию, как только сможем», – говорится в сообщении Raft (@raft_fi) от 10 ноября 2023 г.
Согласно отчету об инциденте, за несколько дней до этого хакер одолжил 6000 cbETH (ETH, размещенные в стекинге на Coinbase) по протоколу децентрализованного финансирования Aave, перевел сумму в Raft и выпустил 6,7 миллиона стейблкоинов Raft (R), используя сбой смарт-контракта.
Затем выпущенные таком способом средства были выведены с платформы через пулы ликвидности на децентрализованных биржах Balancer и Uniswap, что принесло выручку в размере 3,6 миллиона долларов. После атаки стейблкоин R потерял привязку к доллару США.
Согласно отчету:
«Основной причиной была проблема точности вычислений при выпуске токенов, что позволило хакеру получить дополнительные токены. Злоумышленник использовал расширенное значение индекса, чтобы увеличить стоимость своих токенов».
Смарт-контракты, подвергшиеся эксплоиту во время инцидента, были проверены фирмами по безопасности блокчейнов Trail of Bits и Hats Finance.
«К сожалению, уязвимости, которые привели к инциденту, в ходе этих проверок не были обнаружены», — написал Raft.
В проекте сообщили, что после инцидента 10 ноября он подал заявление в полицию и работает с централизованными биржами, чтобы отследить поток украденных средств. Все смарт-контракты Raft в настоящее время приостановлены, хотя пользователи, создавшие R, «сохраняют возможность погасить свои позиции и получить залог».
Децентрализованные стейблкоины чеканятся под залог криптовалютных депозитов пользователей. В декабре 2022 года децентрализованный стейблкоин HAY потерял привязку к доллару США после того, как хакер воспользовался сбоем смарт-контракта и отчеканил 16 миллионов HAY без надлежащего обеспечения. С тех пор стейблкоин HAY потерял привязку, отчасти из-за протокола, требующего коэффициента обеспечения 152% на момент эксплойта в рамках управления рисками.
