Team Finance, platforma infrastruktury web3 umożliwiająca firmom zabezpieczanie tokenów, ucierpiała w wyniku włamania, które spowodowało utratę aktywów o wartości 14.5 miliona dolarów 27 października, firma napisała na Twitterze.
Właśnie zostaliśmy powiadomieni o wykorzystaniu luki w Team Finance.
W tej chwili nie jesteśmy pewni szczegółów.
Zachęcamy eksploatatora do skontaktowania się z nami w celu wypłaty bountyW tej chwili pracujemy nad analizą i naprawą sytuacji.
Więcej szczegółów do naśladowania
— Finanse zespołu (@TeamFinance_) 27 października 2022 r.
Firma PeckShield zajmująca się analizą Blockchain i bezpieczeństwem oszacowała, że hakerowi udało się uciec z kryptowalutami o wartości 15.8 miliona dolarów.
Team Finance poinformował w wątku na Twitterze, że atakujący wykorzystał wadliwą funkcję migracji z V2 do V3, która została wcześniej skontrolowana.
Haker użył 1.76 Ethereum (ETH.) tokeny wycofane z FixedFloat w celu rozpoczęcia ataku. Atakujący zachował cały łup zaparkowany w jednym portfelu. Całkowita strata obejmuje 880 ETH i 6.4 miliona DAI tokeny m.in. według PeckShield.
2/ Protokół ma wadliwą metodę migrate(), która jest wykorzystywana do przesyłania prawdziwej płynności UniswapV2 do kontrolowanej przez atakującego nowej pary V3 z przekrzywioną ceną, co skutkuje ogromnymi pozostałościami jako zwrotem zysku. Ponadto sprawdzanie autoryzowanego nadawcy jest pomijane przez blokowanie dowolnych tokenów. pic.twitter.com/G2QVNU7DgU
- PeckShield Inc. (@peckshield) 27 października 2022 r.
Team Finance, oferta produktowa TrustSwap, zapewniła użytkowników, że pozostałe środki na platformie nie są już zagrożone przez tego samego hakera.
Jednak platforma, która nie jest pewna szczegółów ataku, zawiesiła wszystkie działania do czasu usunięcia wszystkich luk. Team Finance wezwał również hakera do skontaktowania się z zespołem w celu wypłaty nagrody.
Według DeFiLlama całkowita wartość zablokowana (TVL) w Team Finance spadła z 147.03 mln USD do 128.39 mln USD po ataku dane.
Źródło: https://cryptoslate.com/team-finance-loses-14-5m-to-smart-contract-bug-exploit/