Un protocolo de automatización de rendimiento en Arbitrum fue explotado durante el fin de semana en un incidente que estimulados el saldo del hacker de su moneda estable en dólares estadounidenses Sperax (USDS).
Pero en un giro de la trama, el equipo dijo el martes que todos los fondos habían sido devueltos, apuntando a un USDC de $ 300,000. transaccional — y que Sperax pronto proporcionaría un cronograma para reanudar las transferencias de SperaxUSD.
La moneda estable "híbrida", que notificó por primera vez a sus usuarios sobre el ataque el domingo, publicó un informe el lunes por la noche que detalla lo que sucedió.
Aunque en su informe SperaxUSD llama a la persona un "atacante", el equipo ha dicho por separado en un tweet que la persona asociada con la dirección es "no un hacker”, y que se comprometió a no tomar ninguna medida si los fondos eran devueltos.
El equipo dijo que el explotador se aprovechó de un error interno en el contrato de token de USDS para cambiar el saldo a 9.7 mil millones en una billetera multi-sig.
Antes de que el equipo pudiera bloquear el contrato, el atacante logró cambiar alrededor de $309,000 USD a USDT, USDC y WETH.
SperaxUSD dijo que el 13 de diciembre había actualizado el contrato de token para solucionar un problema en el cálculo de los saldos, que causaba incompatibilidades con los DEX.
El exploit comenzó cuando el atacante envió fondos a una dirección de Gnosis Safe, una billetera de contrato inteligente de múltiples firmas, lo que desencadenó un error en el contrato de token de USD. Así fue como el saldo saltó a 9.7 millones de tokens.
Luego, el atacante comenzó a vender USD en Arbitrum, probablemente 10,000 a la vez. Unas tres horas después del ataque, el equipo de SperaxUSD pudo detener la acción.
Los titulares del token de USD tienen dos tipos de tokens: rebase (donde la oferta se ajusta para controlar el precio) y no rebase. Esto significa que el saldo de USD de un titular de rebase aumenta automáticamente con un rebase, que se activa semanalmente.
“Aunque todos los contratos que desarrollamos pasan por múltiples rondas de revisiones y pruebas exhaustivas, aún nos perdimos este caso extremo. Creemos que el atacante solo estaba experimentando con el contrato ya que el código actualizado no está publicado; sin embargo, descubrió un error novedoso, podría haber sido una situación aún peor (si hubiera sido planeado)”, dijo el equipo.
Reciba las principales noticias e información sobre criptografía del día en su correo electrónico todas las noches. Suscríbase al boletín gratuito de Blockworks ahora.
¿Quiere que le envíen alfa directamente a su bandeja de entrada? Obtenga ideas comerciales degen, actualizaciones de gobernanza, rendimiento de tokens, tweets imperdibles y más de Resumen diario de Blockworks Research.
¿No puedes esperar? Recibe nuestras noticias de la manera más rápida posible. Únete a nosotros en Telegram y síguenos en noticias de Google.
Fuente: https://blockworks.co/news/arbitrum-stablecoin-exploit-happy-ending