Aparentemente, a Vestra DAO foi alvo de um ataque hacker. Analistas on-chain notaram atividades suspeitas, nas quais tokens VSTR, o token ERC-20 nativo do protocolo, estavam sendo transferidos detracinteligentes disponíveis e enviados imediatamente para o mixer Tornado.
Pelo menos US$ 480 mil em tokens haviam sido roubados na época dos relatos. Embora o ataque inicial tenha sido relativamente pequeno, o risco persistia para outros participantes. O pesquisador on-chain Chaofan Shou foi o primeiro a notar a vulnerabilidade, aconselhando todos os usuários a revogarem as permissões.
A Vestra DAO (@Vestra_DAO acaba de ser hackeada e o ataque ainda está em andamento. Já houve um prejuízo de US$ 480 mil e mais perdas estão por vir. Retire seus investimentos e remova a liquidez imediatamente. pic.twitter.com/0b9i1lhrEw
-Chaofan Shou (@shoucccc) 4 de dezembro de 2024
A exploração afetou otracde staking do token VSTR, com os fundos sendo imediatamente liquidados e enviados para o mixer Tornado. No caso do VSTR, mais de 65% dos tokens estão bloqueados para governança, totalizando mais de 34 bilhões de tokens.
inteligente afetadotracdetém os 755 milhões de tokens VSTR restantes, representando 1,51% do fornecimento total. Apesar do ataque ter sido contra um token relativamente pequeno, a subsequente queda do mercado reduziu ainda mais o valor do projeto. Por ora, a Vestra DAO pode ter VSTR suficiente em suas reservas para compensar os usuários, enquanto tenta reparar os danos à sua reputação.
O explorador esperou um mês antes de explorar uma falha na lógica dotrac
O explorador vendeu rapidamente, pagando 0,51 ETH à Beaverbuild para obter inclusão prioritária em um bloco. O contrato de staking bloqueado da Vestra DAO ,tracfoi enviando tokens VSTR diretamente.
Durante horas, o explorador enviou transações de spam de 520 mil ou 500 mil VSTR para otrac, totalizando, ao final, US$ 480 mil em negociações. O ataque explorou uma falha lógica notrac, que permitiu ao hacker receber 20 mil VSTR após cada transação.
A análise on-chain mostrou que o atacante primeiro depositou VSTR no contratotractractractractractractractractracEm seguida, a série automatizada de transações começou extrairtracVSTR a cada iteração de depósito e remoção de VSTR.
As verificações de dados em cada depósito e saque não acionaram nenhum alerta, permitindo que o atacante esgotasse otracpor meio de múltiplas transações de depósito e saque. Otracverificou o prazo de vencimento apenas uma vez, mas o hacker já havia cumprido o requisito ao realizar staking 30 dias antes.
O resultado da exploração foi um saque de 125 ETH, que foram misturados através do Tornado Cash. O atacante gastou US$ 40 mil em gás Ethereum para as trocas mais rápidas possíveis, tornando-se brevemente o maior usuário de gás da rede.
A Vestra DAO não divulgou detalhes específicos do ataque e afirmou que os fundos dos usuários não foram afetados. No entanto, otracfoi esvaziado de seus tokens VSTR, o que claramente representa uma perda de valor para o projeto.
Tokens VSTR são hackeados um mês após o início das negociações
A Vestra DAO é um projeto relativamente novo, com tokens VSTR sendo negociados desde 6 de novembro. O token está disponível apenas no par de negociação Uniswap V3.
A DAO realizou sua primeira proposta em 14 de outubro, vinculada à venda de 1 bilhão de tokens do tesouro do projeto. O token VSTR ainda possui apenas 1.643 detentores, o que contribui para o impacto limitado do ataque.
O token despencou após o ataque, caindo de US$ 0,013 para US$ 0,005. Posteriormente, o VSTR subiu ligeiramente para US$ 0,009, mas permanece extremamente ilíquido e volátil. Além da perda direta, o VSTR também perdeu metade de sua capitalização de mercado.
Neste momento, o VSTR pode ser ainda mais arriscado do que tokens meme em estágio inicial. O maior risco é que os tokens VSTR possuem apenas US$ 1,9 milhão em liquidez, que não está bloqueada e pode ser explorada ainda mais por meio de um golpe de venda (rug pull).
Outro risco para o projeto é que seus contratostractractractractractractractractracgeral aviso no CoinGecko. A Vestra DAO afirmou ter colocado seu contrato de staking na lista negratractractractractractractractractrac.
Mesmo em projetos auditados, ostracinteligentes podem não ser totalmente seguros e podem apresentar vulnerabilidades. No caso do VestraDAO, o projeto em fase inicial pode se recuperar e aumentar sua confiabilidade.
A Vestra DAO atraiu a comunidade cripto turca, um dos grupos mais ativos de usuários pioneiros. O token VSTR chegou a ter um preço de conversão para liras turcas.
