Vestra DAO потерял $480K из-за хакерской атаки всего через месяц после запуска токенов VSTR

Vestra DAO (VSTR) стал жертвой хакерской атаки менее чем через месяц после своего запуска.

Появляется информация о том, чтоVestra DAO был взломан. Аналитики в блокчейне заметили подозрительную активность, при которой токеныVSTR, нативный токен протокола на базеERC-20, перемещались из доступных смарт-контрактов и немедленно отправлялись вTornado mixer.

По состоянию на момент отчетов было украдено токенов на сумму не менее$480K. Хотя первоначальная атака была относительно небольшой, риск оставался для других участников. Исследователь блокчейнаChaofan Shou первым отметил эксплойт, советуя всем пользователям отозвать разрешения.

Vestra DAO в настоящее время находится под атакой, и уже зафиксированы потери в$480K. Немедленно выведите свои средства и заберите ликвидность.

Эксплойт затронул контракт стейкинга токеновVSTR, средства были немедленно ликвидированы и отправлены вTornado mixer. ДляVSTR более 65% токенов заблокированы для управления, что составляет более34 миллиардов токенов.

Затронутый смарт-контракт удерживает оставшиеся755 миллионов токеновVSTR, что составляет1.51% от общего объема. Несмотря на атаку на относительно небольшой токен, последующий рынок столкнулся с падением, что отрицательно сказалось на стоимости проекта. На данный моментVestra DAO может иметь достаточноVSTR в резерве, чтобы компенсировать пользователям убытки, одновременно пытаясь восстановить свою репутацию.

Атакующий подождал месяц, прежде чем воспользоваться уязвимостью в логике контракта. Он продал токены в срочном порядке, заплатив0.51 ETHBeaverbuild за приоритетное включение в блок. Затронутый контракт стейкингаVestra DAO был непосредственно поражен, с немедленной рассылкой токеновVSTR.

На протяжении нескольких часов атакующий отправлял спам-транзакции по520K или500KVSTR на контракт, в конечном итоге обменяв$480K в общей сложности. Атака использовала уязвимость в логике контракта, что позволяло хакеру получать20,000 VSTR после каждой транзакции.

Анализ в блокчейне показал, что атакующий сначала застейкнулVSTR в контракт30 дней назад, скрываясь и изучая уязвимость контракта. Затем началась автоматизированная серия транзакций, извлекавшаяVSTR с каждой итерацией стейкинга и анстейкинга.

Данные проверки по каждому депозиту и выводу средств не инициировали никаких предупреждений, что позволило нападавшему откачать средства из контракта за множество транзакций.

Результатом эксплуатации стало125 ETH, которые были смешаны черезTornado Cash. Атакующий потратил$40K на газ дляEthereum, чтобы совершить наиболее быстрые обмены, на некоторое время став крупнейшим пользователем газа в сети.

Vestra DAO не предоставил подробностей об атаке и заявил, что средства пользователей остались вне опасности. Тем не менее, контракт был опустошен от токеновVSTR, что явно привело к потерям для проекта.

ТокеныVSTR подверглись взлому всего через месяц после их запуска в торговлю.

Vestra DAO является относительно новым проектом, токеныVSTR торгуются с6 ноября. Токен доступен только в паре сUniswap V3.

DAO провело свое первое предложение14 октября, которое касалось продажи1 миллиарда токенов из казны проекта. ТокенVSTR на данный момент имеет лишь1,643 держателя, что усугубляет последствия взлома.

Токен сразу же рухнул после атаки, с$0.013 до$0.005. ПозжеVSTR немного поднялся до$0.009, но остается крайне неликвидным и волатильным. В дополнение к прямым потерям,VSTR также стер половину своей рыночной капитализации.

На данный моментVSTR может быть даже более рискованным, чем ранние мем-токены. Наибольший риск заключается в том, что токеныVSTR имеют лишь$1.9M ликвидности, которая не заблокирована и может быть подвергнута дополнительной эксплуатации черезrug pull.

Vestra DAO по-прежнему зависит от парыUniswap V3, в то время как его ликвидность разблокирована и подвержена рискуrug pull.

Другим риском для проекта является то, что его контракты вызывают функции из внешних смарт-контрактов, что ведет к общему предупреждению наCoinGecko.Vestra DAO заявила, что черный список был составлен для ее контракта стейкинга, но неизвестно, существуют ли аналогичные уязвимости в других смарт-контрактах.

Даже у аудируемых проектов смарт-контракты не всегда могут быть полностью безопасными и могут иметь возможности для эксплуатации. В случаеVestraDAO, проект на ранней стадии может восстанавливаться и повышать свою надежность.

Vestra DAO обратился к криптосообществу Турции, одной из самых активных групп ранних пользователей. ТокенVSTR даже имел цену конверсии втурецкие лиры.

Получите высокооплачиваемую работу в Web3 за 90 дней: Полная дорожная карта