Iltracintelligente Vestra DAO (VSTR) sfruttato meno di un mese dopo il suo lancio

Sembra che Vestra DAO sia stato hackerato. Gli analisti on-chain hanno notato un'attività sospetta in cui i token VSTR, il token ERC-20 nativo del protocollo, venivano spostati dagli smarttracdisponibili e immediatamente inviati al mixer Tornado. 

Al momento delle segnalazioni, erano stati rubati token per un valore di almeno 480.000 dollari. Sebbene l'attacco iniziale fosse relativamente limitato, il rischio permaneva per gli altri partecipanti. Il ricercatore on-chain Chaofan Shou è stato il primo a notare l'exploit, consigliando a tutti gli utenti di revocare le autorizzazioni. 

Vestra DAO @Vestra_DAO è stato hackerato di recente e l'attacco è ancora in corso. Già 480.000 dollari di perdita e altro in arrivo. Preleva la tua partecipazione e ottieni liquidità immediatamente. pic.twitter.com/0b9i1lhrEw

— Chaofan Shou (@Fried_rice) 4 dicembre 2024

L'exploit ha interessato iltracdi staking dei token VSTR, con i fondi immediatamente liquidati e inviati al mixer Tornado. Per VSTR, oltre il 65% dei token è bloccato per la governance, con oltre 34 miliardi di token.

Lo smart contract interessatotraci restanti 755 milioni di token VSTR, pari all'1,51% dell'offerta totale. Nonostante l'attacco a un token relativamente piccolo, il successivo crollo del mercato ha cancellato ulteriore valore dal progetto. Per ora, Vestra DAO potrebbe avere abbastanza VSTR nelle sue riserve per compensare gli utenti, cercando al contempo di riparare il danno reputazionale.

Lo sfruttatore ha atteso un mese prima di sfruttare un difetto logico deltrac

L'autore dello sfruttamento ha venduto in fretta, pagando 0,51 ETH a Beaverbuild per l'inclusione prioritaria in un blocco. Il contratto di staking bloccato di Vestra DAO contracè invio diretto di token VSTR. 

Per ore, l'aggressore ha inviato transazioni spam per 520.000 o 500.000 VSTR altrac, per un totale di 480.000 dollari scambiati. L'attacco ha sfruttato una falla logica neltrac, che ha permesso all'hacker di ricevere 20.000 VSTR dopo ogni transazione. 

VSTR sul contrattotrac30 giorni fa, rimanendo in agguato e studiando la vulnerabilità del contrattotracSuccessivamente, una serie automatizzata di transazioni ha iniziato atracVSTR ad ogni iterazione di staking e unstaking.

I controlli dei dati su ogni deposito e prelievo non hanno attivato alcun avviso, consentendo all'attaccante di esaurire iltractramite più transazioni di deposito e prelievo. Iltracha verificato la scadenza solo una volta, ma l'hacker aveva completato il requisito effettuando lo staking 30 giorni prima.

Il risultato dell'exploit è stato un bottino di 125 ETH, che sono stati mixati tramite Tornado Cash. L'attaccante ha speso 40.000 dollari in gas Ethereum per effettuare gli swap più rapidi possibili, diventando per breve tempo il maggiore utilizzatore di gas sulla catena. 

Vestra DAO non ha rilasciato dettagli specifici sull'attacco e ha affermato che i fondi degli utenti sono rimasti intatti. Tuttavia, iltracè stato svuotato dei suoi token VSTR, sottraendo chiaramente valore al progetto. 

I token VSTR sono stati hackerati un mese dopo il lancio del trading

Vestra DAO è un progetto relativamente nuovo: i token VSTR sono quotati in borsa dal 6 novembre. Il token è disponibile solo nella coppia di trading Uniswap V3. 

La DAO ha lanciato la sua prima proposta il 14 ottobre, legata alla vendita di 1 miliardo di token dal tesoro del progetto. Il token VSTR conta ancora solo 1.643 detentori, il che contribuisce a limitare l'impatto dell'attacco. 

Il token è crollato dopo l'attacco, passando da 0,013 a 0,005 dollari. Successivamente, VSTR è risalito a 0,009 dollari, ma rimane estremamente illiquido e volatile. Oltre alla perdita diretta, VSTR ha anche azzerato metà della sua capitalizzazione di mercato.

A questo punto, VSTR potrebbe essere ancora più rischioso dei token meme in fase iniziale. Il rischio maggiore è che i token VSTR hanno solo 1,9 milioni di dollari di liquidità, che non è bloccata e può essere ulteriormente sfruttata tramite un rug pull. 

L'altro rischio per il progetto è che i suoi contrattitracfunzioni da smart contract esternitracportando a un avviso su CoinGecko. Vestra DAO ha affermato di aver inserito il suo contratto di staking nella blacklisttracma non è noto se esistano vulnerabilità simili per altri smarttrac. 

Anche per i progetti sottoposti a verifica, gli smarttracpotrebbero non essere sempre completamente sicuri e potrebbero presentare potenziali exploit. Nel caso di VestraDAO, il progetto in fase iniziale potrebbe recuperare e aumentare la propria affidabilità. 

Vestra DAO ha attirato l'attenzione della comunità crypto turca, uno dei gruppi più attivi tra i primi utilizzatori. Il token VSTR aveva persino un prezzo di conversione in lira turca.