Otracinteligente da Vestra DAO (VSTR) foi explorado menos de um mês após o seu lançamento

Aparentemente, a Vestra DAO foi alvo de um ataque hacker. Analistas on-chain notaram atividades suspeitas, nas quais tokens VSTR, o token ERC-20 nativo do protocolo, estavam sendo transferidos detracinteligentes disponíveis e enviados imediatamente para o mixer Tornado. 

Pelo menos US$ 480 mil em tokens haviam sido roubados na época dos relatos. Embora o ataque inicial tenha sido relativamente pequeno, o risco persistia para outros participantes. O pesquisador on-chain Chaofan Shou foi o primeiro a notar a vulnerabilidade, aconselhando todos os usuários a revogarem as permissões. 

A Vestra DAO (@Vestra_DAO acaba de ser hackeada e o ataque ainda está em andamento. Já houve um prejuízo de US$ 480 mil e mais perdas estão por vir. Retire seus investimentos e remova a liquidez imediatamente. pic.twitter.com/0b9i1lhrEw

— Chaofan Shou (@Fried_rice) 4 de dezembro de 2024

A exploração afetou otracde staking do token VSTR, com os fundos sendo imediatamente liquidados e enviados para o mixer Tornado. No caso do VSTR, mais de 65% dos tokens estão bloqueados para governança, totalizando mais de 34 bilhões de tokens.

inteligente afetadotracdetém os 755 milhões de tokens VSTR restantes, representando 1,51% do fornecimento total. Apesar do ataque ter sido contra um token relativamente pequeno, a subsequente queda do mercado reduziu ainda mais o valor do projeto. Por ora, a Vestra DAO pode ter VSTR suficiente em suas reservas para compensar os usuários, enquanto tenta reparar os danos à sua reputação.

O explorador esperou um mês antes de explorar uma falha na lógica dotrac

O explorador vendeu rapidamente, pagando 0,51 ETH à Beaverbuild para obter inclusão prioritária em um bloco. O contrato de staking bloqueado da Vestra DAO ,tracfoi enviando tokens VSTR diretamente. 

Durante horas, o explorador enviou transações de spam de 520 mil ou 500 mil VSTR para otrac, totalizando, ao final, US$ 480 mil em negociações. O ataque explorou uma falha lógica notrac, que permitiu ao hacker receber 20 mil VSTR após cada transação. 

A análise on-chain mostrou que o atacante primeiro depositou VSTR no contratotrac30 dias, observando e estudando a falha do contratotracEm seguida, a série automatizada de transações começou extrairtracVSTR a cada iteração de depósito e remoção de VSTR.

As verificações de dados em cada depósito e saque não acionaram nenhum alerta, permitindo que o atacante esgotasse otracpor meio de múltiplas transações de depósito e saque. Otracverificou o prazo de vencimento apenas uma vez, mas o hacker já havia cumprido o requisito ao realizar staking 30 dias antes.

O resultado da exploração foi um saque de 125 ETH, que foram misturados através do Tornado Cash. O atacante gastou US$ 40 mil em gás Ethereum para as trocas mais rápidas possíveis, tornando-se brevemente o maior usuário de gás da rede. 

A Vestra DAO não divulgou detalhes específicos do ataque e afirmou que os fundos dos usuários não foram afetados. No entanto, otracfoi esvaziado de seus tokens VSTR, o que claramente representa uma perda de valor para o projeto. 

Tokens VSTR são hackeados um mês após o início das negociações

A Vestra DAO é um projeto relativamente novo, com tokens VSTR sendo negociados desde 6 de novembro. O token está disponível apenas no par de negociação Uniswap V3. 

A DAO realizou sua primeira proposta em 14 de outubro, vinculada à venda de 1 bilhão de tokens do tesouro do projeto. O token VSTR ainda possui apenas 1.643 detentores, o que contribui para o impacto limitado do ataque. 

O token despencou após o ataque, caindo de US$ 0,013 para US$ 0,005. Posteriormente, o VSTR subiu ligeiramente para US$ 0,009, mas permanece extremamente ilíquido e volátil. Além da perda direta, o VSTR também perdeu metade de sua capitalização de mercado.

Neste momento, o VSTR pode ser ainda mais arriscado do que tokens meme em estágio inicial. O maior risco é que os tokens VSTR possuem apenas US$ 1,9 milhão em liquidez, que não está bloqueada e pode ser explorada ainda mais por meio de um golpe de venda (rug pull). 

Outro risco para o projeto é que seus contratostracfunções de contratos inteligentes externostracgeral aviso no CoinGecko. A Vestra DAO afirmou ter colocado seu contrato de staking na lista negratracinteligentestrac. 

Mesmo em projetos auditados, ostracinteligentes podem não ser totalmente seguros e podem apresentar vulnerabilidades. No caso do VestraDAO, o projeto em fase inicial pode se recuperar e aumentar sua confiabilidade. 

A Vestra DAO atraiu a comunidade cripto turca, um dos grupos mais ativos de usuários pioneiros. O token VSTR chegou a ter um preço de conversão para liras turcas.