Команда децентралізованої біржі WOOFi повідомила про атаку на сервіс свопів у L2-мережі Arbitrum, яка призвела до втрати $8,75 млн.
Earlier today we identified an exploit of WOOFi Swap on Arbitrum. Within 13 minutes, the threat had been contained and we marked all other WOO contracts as safe. Linked below is a post-mortem detailing today’s events. (1/6)https://t.co/igDaOMgyCP
— WOOFi (@_WOOFi) March 5, 2024
Хакер запозичив через флеш-кредити приблизно 7,7 млн токенів WOO та інші активи.
Зловмисник маніпулював ціною в механізмі Synthetic Proactive Market Making (AMM платформи), скориставшись низькою ліквідністю, внаслідок чого курс токена виявився близьким до нуля. Потім він «практично без витрат» обміняв 10 млн WOO на платформі.
Хакер тричі повторив атаку протягом «короткого періоду часу». Його прибуток після погашення миттєвих позик склав близько $8,75 млн.
Згідно із заявою, злом майже одразу був виявлений системою внутрішнього моніторингу біржі та низкою партнерів на кшталт Hypernative, Chainalysis і Wintermute.
Розробники призупинили роботу смартконтракту Swap і почали розслідування.
«Інші контракти WOOFi, включно зі Stake, Earn і Pro, не були зачеплені і залишаються повністю працездатними. Якщо будь-хто із вкладників захоче вивести кошти, він зможе зробити це у звичайному режимі», — запевнили вони.
Команда зазначила, що Swap підтримують у понад 10 мережах, але в жодній із них немає ринку кредитування, як в Arbitrum. Поряд із низькою ліквідністю WOO на L2-протоколі це зробило атаку економічно доцільною для хакера.
Останньому запропонували повернути вкрадене за винагороду в 10% від суми. Компанія Arkham Intelligence висловила готовність заплатити за інформацію про зловмисника.
Розробники WOOFi вносять зміни до контракту Swap і розраховують завершити всі необхідні тести протягом двох тижнів.
«Ми працюватимемо з провідними фірмами з кібербезпеки, щоб забезпечити виявлення вразливостей на більш ранньому етапі. Подібний інцидент стався з нами вперше, і ми хочемо переконатися, що таке не повториться», — йдеться в заяві.
Нагадаємо, у лютому сума втрат криптопроєктів від зломів і шахрайства скоротилася до $67 млн, а всі великі інциденти виявилися пов’язані із сектором DeFi.