El 27 de octubre, el protocolo de bloqueo de finanzas descentralizadas (DeFi) Team Finance dijo que más de $14.5 millones en tokens fueron explotados a través de la función de migración Uniswap v2 a v3 en su plataforma. Como les dijo a por la firma de seguridad blockchain PeckShield, el pirata informático transfirió liquidez de los activos Uniswap v2 en Team Finance a un par v3 controlado por el atacante con precios sesgados. Al bloquear los tokens en el contrato, el atacante eludió los mecanismos de validación existentes y se embolsó los enormes sobrantes como reembolso de las ganancias.
Uniswap v3 fue diseñado con una mejor eficiencia para los proveedores de liquidez (LP) que v2 en su intercambio descentralizado. Sin embargo, los contratos inteligentes v2 todavía están operativos y los usuarios deben interactuar con un contrato inteligente de migración para migrar sus activos LP de v2 a v3. PeckShield estimó que el vector de ataque inicial requerido para esta interacción costó solo 1.76 Ether (ETH).
Los activos agotados incluyen USD Coin (USDC), tokens CAW, TSUKA y KNDA, ya que los fondos de liquidez se "trasladaron" a Uniswap v3. En el intercambio descentralizado, algunos de los tokens afectados, como CAW, sufrió fuertes caídas de precios debido a la explotación y la subsiguiente crisis de liquidez.
Team Finance dijo que el contrato inteligente había sido auditado previamente e instó al pirata informático a "ponerse en contacto con nosotros para el pago de una recompensa". Como resultado, los desarrolladores han pausado temporalmente toda actividad en el protocolo y afirman que todos los fondos en la plataforma no corren el riesgo de sufrir una nueva explotación. Fundada en 2020, Team Finance y su empresa matriz, TrustSwap, brindan servicios de adquisición y bloqueo de liquidez de tokens para ejecutivos de proyectos. El protocolo afirma tener $ 3 mil millones asegurados en 12 cadenas de bloques.
Con períodos de adjudicación más largos que el historial de empleo de Liz Truss... https://t.co/1Wo6RwqsFg puede mantenerlo más seguro que la economía británica este invierno!
Bloquee sus fichas hoy y mantenga alejado el Truss. pic.twitter.com/QYPhjg7HQo
— Finanzas del equipo (@TeamFinance_) 21 de Octubre de 2022
Fuente: https://cointelegraph.com/news/team-finance-exploited-for-14-5m-durante-protocol-migration-despite-contract-audit