Het Meter Passport-tokenbridge-platform heeft $ 4,4 miljoen aan verliezen geleden als gevolg van een slimme contracthack, waardoor Hundred Finance ook $ 3,3 miljoen verloor door leningen met onderpand.
Meter.io's Meter Passport (MTRG) is een token bridge die compatibel is met Ethereum en zijn zijketens. Deze aanval trof de Moonriver-kant van de brug.
Onze beste handelsrobots
Moonriver is een slim contractplatform gebaseerd op het Kusama-netwerk van Polkadot. Honderd Financiën is een crypto-leenplatform op basis van de code voor Compound Finance.
Vanaf 5 februari om 14.00 uur UTC en in de loop van verschillende transacties werd ongeveer $ 4,4 miljoen in Binance Coin (BNB) en wETH geslagen door een "verkeerde vertrouwensveronderstelling" in de code, volgens een verklaring van 6 februari van de Meter team. In dit geval werd een willekeurige hoeveelheid ETH op Meter gestort, die de hacker gebruikte om tokens te slaan met behulp van de kwetsbaarheid.
De aanval veroorzaakte een cascade-effect over het op Kusama gebaseerde Moonriver-ecosysteem. Nadat Meter zijn BNB- en wETH-reserves had leeggemaakt, verkocht de aanvaller de BNB op SushiSwap, een populaire gedecentraliseerde beurs. Dit leidde destijds tot een crash van 77% in de prijs van BNB op Moonriver.
Een aantal opportunisten profiteerde vervolgens van de prijsdip door goedkope BNB te kopen. Ze gebruikten de tokens als onderpand op Hundred Finance om ETH-, FRAX- en MIM-leningen af te sluiten. Vanwege de discrepantie in de BNB-prijs waren hun leningen echter meer waard dan het onderpand dat ze hadden verstrekt, wat een aanbodcrisis veroorzaakte.
Verbazingwekkend genoeg werden twee van de leningen terugbetaald, waardoor er nog een uitstaande $ 3,3 miljoen aan verliezen overbleef voor het Honderdprotocol. De ETH-lening werd volledig terugbetaald. Het Honderd-team heeft geprobeerd contact op te nemen met de betrokken partijen om te vragen dat ze de BNB-tokens die als onderpand zijn gebruikt, teruggeven aan Meter.
Het Meter-team heeft toegezegd de gemeenschap en Hundred Finance terug te betalen voor de verliezen die zijn geleden als gevolg van de hack. Het team verklaarde op 6 februari dat het $ 4,4 miljoen aan MTRG-tokens had gereserveerd om initiële verliezen te dekken.
"Vfat", de pseudonieme oprichter van Hundred Finance, zei in een verklaring aan Rekt Nieuws op 6 februari dat:
"Meter heeft natuurlijk de verantwoordelijkheid voor deze hack geaccepteerd en is van plan om hun eigen token te gebruiken voor terugbetaling voor zover ze kunnen, momenteel zijn we in de fase van het verzamelen van adressen en bedragen."
Verwant:Qubit Finance lijdt verlies van $ 80 miljoen na hack
Het blockchain-beveiligingsbedrijf PeckShield schatte dat in totaal 1.391 ETH en 2,74 wBTC door de aanvaller zijn ingenomen en sindsdien naar Ethereum zijn gestuurd, waar de tokens door Tornado Cash zijn gegaan, een privacytool voor ETH-transacties.
Een vertegenwoordiger van het Hundred Finance-team vertelde Cointelegraph dat het ongeveer een dag zou wachten voordat het stappen zou ondernemen om de MIM- en FRAX-markten op zijn platform te heropenen. In antwoord op een vraag over brugbeveiliging vertelde het Honderd-team aan Cointelegraph:
"We hopen dat bruggen hun beveiliging zullen versterken en hun technologie veiliger zullen maken. Wat ons betreft zullen we nog strenger zijn met activa en bruggen op nieuwe ketens."
De eerste details van de exploit van Meter's code lijken op de Wormhole-hack op 3 februari, waarbij 120.000 wETH ($ 321 miljoen) kwaadwillig werd geslagen en geëxtraheerd uit het Wormhole-platform. Bij dat incident maakte de hacker gebruik van een slimme contractbug om naar believen wETH te minten en stuurde de tokens naar Ethereum, waar ze werden gewassen via Tornado Cash.
Artikel bijgewerkt om de ETH-lening op Hundred Finance toe te voegen is terugbetaald.
Blijf lezen op CoinTelegraph