Tech

Pembiayaan Pasukan mengeksploitasi $14.5 juta semasa penghijrahan protokol walaupun audit kontrak

10/28/2022
Berita Bitcoin Ethereum

Pada 27 Okt, protokol lokap kewangan terpencar (DeFi) Kewangan Pasukan berkata bahawa token bernilai lebih $14.5 juta telah dieksploitasi melalui fungsi migrasi Uniswap v2 ke v3 pada platformnya. Sebagai memberitahu oleh firma keselamatan blockchain PeckShield, penggodam memindahkan kecairan daripada aset Uniswap v2 pada Team Finance kepada pasangan v3 yang dikawal oleh penyerang dengan harga yang tidak betul. Dengan mengunci token pada kontrak, penyerang memintas mekanisme pengesahan sedia ada dan mengantongi sisa besar sebagai bayaran balik untuk keuntungan. 

Uniswap v3 telah direka bentuk dengan kecekapan yang lebih baik untuk pembekal kecairan (LP) daripada v2 pada pertukaran terpencarnya. Walau bagaimanapun, kontrak pintar v2 masih beroperasi dan pengguna mesti berinteraksi dengan kontrak pintar migrasi untuk memindahkan aset LP mereka daripada v2 kepada v3. PeckShield menganggarkan bahawa vektor serangan awal yang diperlukan untuk interaksi ini berharga hanya 1.76 Ether (ETH).

Aset yang dikeringkan termasuk USD Coin (USDC), token CAW, TSUKA dan KNDA, kerana kumpulan kecairan "dialihkan" ke Uniswap v3. Pada pertukaran terdesentralisasi, beberapa token yang terjejas, seperti CAW, menderita penurunan harga yang curam disebabkan oleh eksploitasi dan masalah mudah tunai yang seterusnya. 

Team Finance berkata bahawa kontrak pintar itu telah diaudit sebelum ini dan menggesa penggodam untuk "menghubungi kami untuk pembayaran hadiah." Akibatnya, pembangun telah menjeda sementara semua aktiviti pada protokol dan mendakwa bahawa semua dana pada platform tidak berisiko untuk dieksploitasi lagi. Ditubuhkan pada 2020, Team Finance dan firma induknya, TrustSwap, menyediakan perkhidmatan penguncian dan peletakan hak kecairan token untuk eksekutif projek. Protokol itu mendakwa mempunyai $3 bilion yang dijamin di 12 rantaian blok.