Raczkujący zdecentralizowany protokół finansowy ForceDAO miał trudny początek, a kilka wtargnięć ze strony hakerów miało miejsce zaledwie kilka godzin po jego uruchomieniu.
Agregator zysków oparty na Ethereum dopiero co rozpoczął swoją kampanię zrzutową 3 kwietnia, kiedy to czterem złośliwym hakerom z „czarnego kapelusza” udało się spuścić łącznie 183 ETH o wartości około 367 000 dolarów w tamtym czasie. Jeden przyjazny haker w białym kapeluszu również pomagał drużynie, ostrzegając ich, aby zapobiegali dalszym stratom.
Nasze najlepsze roboty biznesowe
Zespół opublikował sekcję zwłok ataków i wziął na siebie odpowiedzialność za to, co nazwał „nadzorem inżynieryjnym”.
Po inwazji zespół podjął decyzję o przeniesieniu 60 milionów tokenów FORCE z portfela skarbowego z wieloma podpisami do portfela wdrożeniowego w celu utworzenia i wykonania trzech głosów, które skutecznie spalą salda FORCE na trzech adresach hakerów.
W sekcji zwłok wyjaśniono, że platforma xFORCE, której to dotyczy, była rozwidleniem inteligentnego kontraktu SushiSwap zawierającego mechanizm przywracania tokenów w przypadku nieudanych transakcji. Protokół opisuje xFORCE jako „oprocentowaną” wersję FORCE, reprezentującą udziały w jego pulach, podobnie jak działają tokeny LP.
Wada w kontrakcie wykorzystywanym przez ForceDAO umożliwiła atakującym wykorzystanie tego mechanizmu do wybicia tokenów xFORCE, które następnie zostały wycofane i wymienione na ETH na rynkach. Zespół przyznał, że atakowi można by było stosunkowo łatwo zapobiec.
„Można było temu zapobiec, używając standardowego Open Zeppelin ERC-20 lub dodając opakowanie safeTransferFrom w kontrakcie xSUSHI”.
Dodał, że włamanie jest obecnie badane, ponieważ niektóre adresy pochodziły z popularnych giełd FTX i Binance. Zostanie zrobiona migawka, a projekt zostanie ponownie uruchomiony z nowym tokenem xFORCE, dodał.
Po premierze i zrzutach ceny tokenów FORCE wzrosły do ponad 2 USD 4 kwietnia, ale od tego czasu spadły o 95% do 0,05 USD w momencie pisania.
Przeczytaj więcej o Cointelegraph