Visor Finance публикует результаты вскрытия после атаки DeFi Heist на 500 000 долларов
Еще одним протоколом децентрализованного финансирования (DeFi), который пострадал от рук злоумышленников, стала платформа управления хранилищами Visor Finance, сообщает BeInCrypto.
В отчете об инциденте от 20 июня протокол DeFi показал, что злоумышленник получил доступ к учетной записи, которая управляла некоторыми его функциями администратора.
DeFi-эксплойтов предостаточно
Он добавил, что злоумышленник смог снять средства с депозитов, которые еще не были размещены на позициях поставщика ликвидности.
Visor сообщил, что украденная сумма составляет около 16,7% от его общей заблокированной стоимости (TVL) в размере 3 миллионов долларов, или около 500 000 долларов. Он подтвердил, что хакер не был членом команды и, следовательно, не имел полного представления о мерах предосторожности для его экстренного вывода.
«Таким образом, украденные средства были ограничены непозиционированными активами, и поэтому цифра в 500 тысяч долларов была не случайной», - говорится в сообщении.
Visor Finance подтвердила, что использовала свою казну для замены украденного, прежде чем подробно рассказать, как это произошло.
Учетная запись администратора была взломана
Visor Protocol предлагает услугу, называемую Smart Vault, которая представляет собой хранилище невзаимозаменяемых токенов (NFT), в которое пользователи могут чеканить и депонировать активы. Затем хранилище используется для взаимодействия с «гипервизором» - смарт-контрактом, который соединяет активы в хранилище с внешними протоколами DeFi.
Этот самый гипервизор и был скомпрометирован во время вторжения, и команда признала, что он виноват в наличии единого административного доступа, а не учетной записи с несколькими подписями.
«Но с учетом сказанного, наша ошибка заключалась в том, что мы не использовали учетную запись с несколькими подписями для всех функций администратора гипервизора. Теперь мы это исправили», - сообщает команда проекта.
Visor заявил, что изначально он был разработан таким образом, поскольку было непрактично иметь несколько сигнатур для управления частым ребалансированием на нескольких парах каждый раз, когда требовалась ребалансировка.
«Функция экстренного вывода средств была реализована для тестирования гипервизоров в ожидании аудита протокола в качестве меры предосторожности в случае необходимости спасения средств», - добавил он.
Протокол DeFi подтвердил, что сами смарт-контракты не были атакованы, и в будущем будут применяться стандартные отраслевые практики.
«Мы осознаем важность управления разрешениями и будем принимать только отраслевые стандарты и передовые методы сейчас и в будущем. Мы понимаем, что это особенно сложная среда для проектирования, поскольку она связана как с активным управлением, так и с безопасностью средств», - говорится в сообщении.
На прошлой неделе протокол DeFi Iron Finance (TITAN) понес большие убытки из-за того, что он назвал «бегством криптовалютных банков». Одним из инвесторов и, соответственно, значительно пострадавшей стороной стал Марк Кьюбан, который заявил, что стейблкоины нуждаются в «более лучшем» регулировании.
Ценники токенов VISR
Собственный токен протокола упал на 64% во время инцидента 19 июня, показав снижение цены с 0,95 доллара до 0,337 доллара, согласно CoinGecko.
Впрочем, ему удалось немного отскочить от этого уровня. На момент написания VISR торговался на уровне 0,46 доллара, потеряв больше половины цены за неделю и на 87% с исторического максимума в 4,11 доллара на 5 мая. По данным DeFi Llama, общая заблокированная стоимость составляет около 1,2 миллиона долларов, что на 66% ниже рекордного уровня в 3,5 миллиона долларов 17 июня.