" Вкладчики утверждают, что команде HectorDAO не удалось защитить свои активы после того, как учетная запись развертывателя протокола внесла в белый список вредоносный хакерский адрес.
Один из инвесторов HectorDAO, пожелавший остаться анонимным, заявил, что команда HectorDAO прекратила общение со своим сообществом 19 января. По его словам, все социальные каналы проекта были отключены в сентябре 2023 года.
В то время команда HectorDAO все еще разрешала контакт через адрес электронной почты группы Google. Однако DAO якобы удалила эту группу незадолго до 19 января.
Что еще хуже, взлом произошел как раз в тот момент, когда протокол планировал самоликвидироваться и вернуть активы инвесторам. Предыдущие предупреждения безопасности якобы были проигнорированы.
По данным компании CertiK, занимающейся безопасностью блокчейнов, ее исследователи проинформировали команду HectorDAO о риске «централизации», создаваемом функцией «addEligibleWallet», основной причине эксплоита, и рекомендовали шаги по снижению этого риска.
Команда HectorDAO якобы решила не внедрять рекомендованные изменения по неизвестным причинам. CertiK сослалась на свой официальный отчет об аудите, в котором говорилось, что функцию может вызывать любая учетная запись с правами модератора.
Рисунок 1. Отчет об аудите платформы возмещения HectorDAO. Источник: CertiK.
HectorDAO предлагает другую версию истории, утверждая, что протокол взаимодействовал с CertiK для проведения тщательного анализа безопасности смарт-контракта и что, вопреки заявлению CertiK, «все активы были защищены в хранилище погашения до запуска процесса обработки претензий».
Последующий анализ блокчейна показал, что злоумышленник предположительно имел доступ к учетной записи развертывателя команды, подразумевая, что эксплоит был либо инсайдерской работой, либо результатом компрометации закрытого ключа. Последнее известное общение команды разработчиков с инвесторами состоялось 18 января, после чего она замолчала.
«В этот понедельник сеть Hector Network пострадала от третьего взлома. Это почти наверняка внутренняя работа недовольной команды разработчиков. Я сделал вскрытие этого эксплоита и объяснил, как несколько кошельков развертывания организовали это событие», – сообщил lilbagscientist (@lilbagscientist) 19 января 2024 г.
Истоки взлома HectorDAO
История HectorDAO начинается в 2021 году, когда ее ранним инвесторам было разрешено покупать токен DAO, HEC, со скидкой через облигации DAO. Средства, собранные в ходе этого процесса, поступали в казну DAO, где теоретически каждый токен HEC представлял собой право собственности на часть казны, которая могла быть реинвестирована для получения дохода для держателей токенов.
На пике своего развития казначейство HectorDAO содержало цифровые активы на сумму более 100 миллионов долларов.
Но неприятности начались с наступлением криптозимы. По данным CoinMarketCap, к 1 мая 2023 года цена HEC упала почти на 99%. В то же время казначейство HectorDAO также снизилось в цене.
Рисунок 2. Падение цены токена HEC с декабря 2021 по май 2022.
Эти трудности усугубились, когда 6 июля 2023 года взлом моста Multichain стоимостью 1,5 миллиарда долларов вызвал заражение в экосистеме Fantom. Это привело к убыткам HectorDAO еще в 8 миллионов долларов, поскольку некоторые из его казначейских активов были отделены от залога в Ethereum.
После этого инцидента инвесторы HectorDAO решили объявить о своем выходе, проголосовав в июле 2023 года за ликвидацию DAO и возврат ее средств пользователям. Однако, несмотря на голосование, большая часть из 16 миллионов долларов, находившихся в казначействе на момент голосования, так и не была распределена среди инвесторов к 15 января 2024 года, накануне взлома HectorDAO.
15 января команда HectorDAO попыталась окончательно распределить казначейские средства, переместив их в новый контракт, по которому их можно было бы выкупить. Однако злонамеренный аккаунт немедленно перевел себе активы на сумму 2,7 миллиона долларов после внесения всего 0,0001 HEC.
Вскоре после этого команда закрыла платформу погашения, а все оставшиеся активы были возвращены в казначейский контракт. С тех пор выплаты больше не возобновлялись.
18 января команда HectorDAO объявила, что платформа выкупа была взломана.
«Hector Network с сожалением сообщает вам, что произошел инцидент безопасности при выкупе протоколом держателей токенов в рамках ликвидации, и 15 января 2024 года было украдено около 2,7 миллиона долларов США», — говорится в сообщении.
Команда заявила, что «активно расследует» инцидент и будет предоставлять обновленную информацию в будущем. Между тем, говорится в сообщении, «процесс выкупа пока отложен».
После объявления о взломе некоторые держатели токенов прямо обвинили команду разработчиков, заявив, что взлом был либо работой мошеннического разработчика, либо был скомпрометирован его секретный ключ. Они утверждали, что команде больше нельзя доверять в обеспечении безопасности средств DAO.
«Члены сообщества Hector Network недавно выразили обеспокоенность тем, что, по их мнению, контракт на выкуп потерял 2,7 миллиона долларов из-за взлома», – 0xBoboShanti (@0xBoboShanti) 15 января 2024 г.
19 января аналитик блокчейна Lilbagscientist опубликовал подробный отчет о вскрытии атаки, сославшись на данные Etherscan. По его словам, подготовка к атаке началась 16 декабря 2023 года, когда аккаунт-развертыватель HectorDAO отправил злоумышленнику 0,0001 HEC. Эти 0,0001 HEC оставались на счету до 15 января.
С 00:32 UTC до 00:43 15 января серия из 14 транзакций была отправлена в Ethereum с помощью Treasury Multisig Wallet команды HectorDAO. После подтверждения эти транзакции привели к тому, что часть казначейских средств была переведена во временное казначейство с мультиподписью HectorDAO, а другие были отправлены менеджеру по ликвидации Hector.
Затем менеджер по ликвидации Hector обменял некоторые токены на другие на децентрализованной бирже, прежде чем отправить их во временное казначейство с мультиподписью. В конце этого процесса вся казна HectorDAO была отправлена во Временное казначейство с мультиподписью.
Между 3:14 и 4:19 15 января Временным казначейством с мультиподписью было выполнено еще 16 транзакций, в результате чего средства были переведены в контракт Hector Redemption Treasury.
В 5:12 злоумышленник одобрил транзакцию, позволяющую потратить до 1 HEC по Hector Redemption Treasury. Сразу после этого он внес в контракт 0,0001 HEC.
Через минуту учетная запись развертывателя команды внесла кошелек злоумышленника в белый список, вызвав функцию addEligibleWallet в контракте Token Vault платформы. Эта транзакция также установила ставку погашения в размере 2,7 миллиона долларов USD Coin (USDC).
В 5:59 злоумышленник вызвал mintWithdraw по контракту Token Vault. Это привело к тому, что контракт Hector Redemption Contract отправил злоумышленнику 2,7 миллиона USDC и сжег 0,0001 HEC, которые были депонированы. Эта транзакция завершила атаку.
Нет четкого плана
Последнее обновление веб-сайта HectorDAO было сделано 18 января. В последнем абзаце говорится, что процесс погашения «на данный момент отложен».
«Hector Network неустанно работает над решением этой проблемы, стремится поддерживать прозрачность на протяжении всего процесса и будет держать вас в курсе любых событий», — написала команда.
Тем временем инвесторы HectorDAO заявляют, что рассматривают возможность судебного иска на фоне неоднократных безуспешных попыток связаться с разработчиками протокола. Первоначально выплаты были запланированы на март, чтобы компенсировать инвесторам ликвидацию DAO. Расследование взлома продолжается.
