Більше

    Resupply спалить 6 млн reUSD після злому на $10 млн

    Команда DeFi-протоколу Resupply оприлюднила деталі експлойту, а також плани з відновлення після нього. Зокрема, розробники оголосили про намір спалити 6 млн reUSD.

    За офіційною інформацією, збитки становили близько $10 млн. Причиною стала вразливість у логіці роботи оракула Resupply. Зловмисник здійснив пожертву, що дало змогу маніпулювати ціною активу crvUSD. Це дозволило йому знизити коефіцієнт exchangeRate до нуля, а отже отримати позику в 10 млн reUSD під заставу всього в 1 wei.

    У команді Resupply повідомили, що зловмисника зупинили менш ніж за годину, вразливість закрили, а самі кошти продовжують відстежувати в мережі.

    Для зменшення негативного ефекту розробники:

    • обнулили відсоткову ставку, щоб уникнути подальшого накопичення боргу;
    • частково погасили втрати з казначейства;
    • внесли технічні виправлення в контракти ResupplyPairCore.sol та ResupplyPairDeployer.sol.

    Загальний обсяг безнадійної заборгованості наразі становить 7,1 млн reUSD. Із цієї суми 2,86 млн було покрито коштами казначейств Resupply, Convex та C2tP. Решту 6 млн reUSD планують спалити, що становить 15,5% страхового пулу (Insurance Pool).

    Команда також пропонує компенсувати втрати учасникам шляхом нової програми з розподілу токенів RSUP. Частину втрат у майбутньому може покрити децентралізована автономна організація DAO за рахунок доходів, включно з позабіржовими продажами RSUP.

    У випадку позитивного голосування, рішення набуде чинності через три дні. Розробники підкреслюють, що це дозволить якнайшвидше відновити ліквідність для користувачів та зменшити заморожування коштів у пулі.

    Раніше видання Crypto News повідомяло, що DeFi-проєкт Resupply, який спеціалізується на стейблкоїнах, став жертвою масштабного злому. Команда Resupply оперативно підтвердила інцидент і заявила про тимчасове припинення роботи протоколу. За словами розробників, хакери використали вразливість, пов’язану з ринком wstUSR. 

    За версією дослідників із BlockSec та Cyvers, зломник маніпулював ціною cvcrvUSD через механізм пожертв, штучно завищивши її. У результаті ключовий параметр exchangeRate обвалився до нуля. Це дозволило зловмиснику позичити велику кількість токенів reUSD, залишивши в якості застави лише 1 wei (найменшу частинку ефіру).

    Далі кошти були швидко виведені та конвертовані в Ethereum, після чого їх розподілили між двома гаманцями. Атака була профінансована через міксер Tornado Cash, що ускладнює відстеження сліду.

    Останні публікації

    Редакція рекомендує