Vestra DAO зазнала хакерської атаки: втрата $480 тисяч у токенах VSTR та ризики для користувачів

Vestra DAO (VSTR) зазнала хакерської атаки менше ніж через місяць після свого запуску. Аналізи на блокчейні виявили підозрілу активність, коли токени VSTR, рідний токен протоколу ERC-20, були переміщені з доступних смарт-контрактів та відразу ж відправлені до міксера Tornado.

На момент звітів було викрадено щонайменше 480 тисяч доларів у токенах. Хоча початковий напад був відносно незначним, ризик залишався для інших учасників. Дослідник блокчейну Чаофан Шоу вперше зазначив експлуатацію, попередивши всіх користувачів відкликати дозволи.

Vestra DAO @Vestra_DAO тільки що була зламано, і атака все ще триває. Вже зазнали збитків у 480 тисяч доларів, ймовірно, буде більше. Терміново відкликайте свої вкладення та забирайте ліквідність.

Атака вплинула на контракт стейкінгу токенів VSTR, з фондів, які одразу було ліквідовано та відправлено до міксера Tornado. Для VSTR більше 65% токенів заблоковані для управління і становлять більше 34 мільярдів токенів.

Зомбі-правила контракту тримають решту 755 мільйонів токенів VSTR, що становить 1,51% від загальної пропозиції. Незважаючи на напад на відносно невеликий токен, подальше падіння ринку стерло ще більше цінності з проєкту. На даний момент Vestra DAO може мати достатньо VSTR у своїх резервуарах, щоб компенсувати користувачів, намагаючись відновити свою репутацію.

Зловмисник чекав місяць перед експлуатацією логічної уразливості контракту.

Зловмисник продав поспіхом, заплативши 0,51 ETH Beaverbuild за пріоритетне включення в блок. Заблокований контракт стейкінгу Vestra DAO був під впливом, безпосередньо відправляючи токени VSTR.

Протягом кількох годин зловмисник відправляв спам-транзакції на 520 тисяч або 500 тисяч VSTR на контракт, в кінці кінців торгуючи на 480 тисяч доларів загалом. Напад експлуатував логічну уразливість у контракті, що дозволяло хакерові отримувати 20 000 VSTR після кожної транзакції.

Аналіз на блокчейні показав, що атакуючий спочатку зробив стейкінг VSTR до контракту 30 днів тому, підпільно досліджуючи уразливість контракту. Потім автоматизований ряд транзакцій почав вилучати VSTR з кожною ітерацією стейкінгу та анстейкінгу.

Перевірки даних на кожен депозит і зняття не викликали жодних попереджень, що дозволяло атакуючому випорожнити контракт через численні транзакції депозиту та зняття. Контракт перевіряв зрілість лише один раз, але хакер виконав вимогу, зробивши стейкінг 30 днів тому.

Результатом атаки став улов у 125 ETH, який був змішаний через Tornado Cash. Атакуючий витратив 40 тисяч доларів на газ Ethereum для найшвидших можливих свопів, ставши короткочасно найбільшим споживачем газу на мережі.

Vestra DAO не оприлюднила специфіку атаки та заявила, що кошти користувачів залишаються незачепленими. Однак контракт був випорожнений з токенами VSTR, що чітко забирало цінність з проєкту.

Токени VSTR були зламані місяць після запуску торгів. Vestra DAO є відносно новим проєктом, а токени VSTR торгуються з 6 листопада. Токен доступний лише в парі торгівлі Uniswap V3.

DAO провела свою першу пропозицію 14 жовтня, пов`язану з продажем 1 мільярда токенів з казначейства проєкту. Токен VSTR досі має лише 1 643 тримачів, що додає до обмеженого ефекту взлому.

Токен відразу ж впав після атаки, з $0.013 до $0.005. Пізніше VSTR піднявся до $0.009, але залишається вкрай непорозумілим та волатильним. Крім прямої втрати, VSTR також стерла половину своєї ринкової капіталізації.

На даний момент VSTR може бути навіть ризикованішим, ніж токени мемів на ранніх стадіях. Найбільший ризик полягає в тому, що токени VSTR мають лише 1,9 мільйона доларів ліквідності, яка не заблокована і може бути подальше використана для rug pull.

Vestra DAO досі покладається на пару Uniswap V3, тоді як її ліквідність розблокована та під загрозою rug pull.

Інший ризик для проєкту полягає в тому, що його контракти викликають функції з зовнішніх смарт-контрактів, що призводить до загального попередження на CoinGecko. Vestra DAO стверджувала, що занесла в чорний список свій контракт стейкінгу, але невідомо, чи існують подібні вразливості для інших смарт-контрактів.

Навіть для перевірених проєктів смарт-контракти можуть не завжди бути абсолютно безпечними і можуть містити можливості для експлуатації. У випадку з Vestra DAO ранній проєкт може відновитися та підвищити свою надійність.

Vestra DAO звернулася до турецької крипто-спільноти, однієї з найбільш активних груп ранніх адептів. Токен VSTR навіть мав ціну конверсії в турецькі ліри.