Хакер вывел $16,8 млн из казны BONK через DAO: как так вышло
Злоумышленник потратил $4,4 млн, чтобы вывести из казны BONK токены на $21,2 млн, и заработал на этом $16,8 млн. На схему обратили внимание аналитики Lookonchain.
Атака стала возможной из-за уязвимости в механизме управления децентрализованной организации. В такой системе достаточно набрать определенный кворум голосов, причем сами голоса привязаны к количеству токенов на кошельке.
Хотите еще эксклюзивных новостей и аналитики? Подписывайтесь на наш телеграм-канал, обсуждайте новости и делитесь мнениями о последних событиях рынка в чате!
Детали атаки
30 июня злоумышленник подал в DAO предложение о переводе 4,426 трлн BONK ($21,2 млн) из казны на подконтрольный ему кошелек (9bxW…JHvQ).
К этому шагу он подготовился заранее. За два предшествующих дня атакующий купил 882 млрд BONK на $4,4 млн на биржах Bybit и Binance. В результате этого объема хватило, чтобы превысить необходимый для одобрения предложения кворум в 879 млрд BONK. Затем злоумышленник проголосовал «за» всем объемом в 882 млрд BONK.
Таким образом, предложение прошло, и 4,426 трлн BONK ($21,2 млн) были автоматически переведены на его кошелек.
Распределение средств
На момент публикации часть активов уже сменила адрес. Ниже представлены данные по распределению украденных токенов:
Похоже, что хакер не спешит выводить оставшиеся средства. Аналитики продолжают следить за указанным адресом.
Участники криптосообщества отметили, что корень проблемы на этот раз уходил в систему управления проектом. Сам код при этом оставался надежным.
Источник: https://ru.beincrypto.com/uyazvimost-v-bonk-dao-168-mln/