Смарт-tracVestra DAO (VSTR) был использован менее чем через месяц после запуска

По всей видимости, Vestra DAO подверглась взлому. Аналитики блокчейна отметили подозрительную активность, в ходе которой токены VSTR, собственные токены протокола стандарта ERC-20, перемещались из доступных смарт-tracи немедленно отправлялись в микшер Tornado. 

На момент публикации сообщений было украдено токенов как минимум на 480 000 долларов. Хотя первоначальная атака была относительно небольшой, риск для других участников сохранялся. Исследователь блокчейна Чаофан Шоу первым обнаружил уязвимость и посоветовал всем пользователям отозвать свои разрешения. 

Vestra DAO @Vestra_DAO только что взломана, и процесс взлома продолжается. Уже убыток в размере 480 000 долларов, и это еще не конец. Немедленно выведите свои средства и заберите ликвидность. pic.twitter.com/0b9i1lhrEw

— Чаофан Шоу (@Fried_rice) 4 декабря 2024 г.

В результате взлома был затронутtracна стейкинг токенов VSTR, средства были немедленно ликвидированы и отправлены в миксер Tornado. Более 65% токенов VSTR заблокированы для целей управления, общее количество токенов превышает 34 миллиарда.

Пострадавший смарт-контрактtracоставшиеся 755 миллионов токенов VSTR, что составляет 1,51% от общего объема предложения. Несмотря на атаку на относительно небольшой токен, последующий обвал рынка еще больше снизил стоимость проекта. На данный момент у Vestra DAO, возможно, достаточно токенов VSTR в резервах, чтобы компенсировать пользователям ущерб, одновременно пытаясь восстановить свою репутацию.

Злоумышленник ждал месяц, прежде чем использовать логическую ошибку вtrac

Злоумышленник поспешно продал токены, заплатив Beaverbuild 0,51 ETH за приоритетное включение в блок. стейкингаtracЭто , в результате чего токены VSTR были отправлены напрямую. 

В течение нескольких часов злоумышленник рассылал спам-транзакции на 520 000 или 500 000 VSTR поtrac, в итоге совершив сделки на общую сумму 480 000 долларов. Атака использовала логическую ошибку вtrac, которая позволяла хакеру получать 20 000 VSTR после каждой транзакции. 

Анализ блокчейна показал, что злоумышленник впервые внес VSTR в стейкинг контрактаtracдней назад, изучая уязвимость контрактаtracЗатем автоматизированная серия транзакций начала VSTRtracс каждой итерацией стейкинга и дестейкинга.

Проверка данных при каждом пополнении и снятии средств не вызвала никаких предупреждений, что позволило злоумышленнику обналичить средства поtracза счет многочисленных операций пополнения и снятия.tracконтракта проверялся только один раз, но хакер выполнил это требование, разместив средства в стейкинге 30 дней назад.

В результате взлома было захвачено 125 ETH, которые были использованы через Tornado Cash. Злоумышленник потратил 40 000 долларов на газ Ethereum для максимально быстрых обменов, на короткое время став крупнейшим потребителем газа в сети. 

Vestra DAO не предоставила подробностей атаки и заявила, что средства пользователей остались нетронутыми. Однако изtracбыли выведены токены VSTR, что явно снизило ценность проекта. 

Токены VSTR были взломаны через месяц после начала торгов

Vestra DAO — относительно новый проект, токены VSTR торгуются с 6 ноября. Токен доступен только в торговой паре Uniswap V3. 

Первое предложение DAO было выдвинуто 14 октября и было связано с продажей 1 миллиарда токенов из казначейства проекта. Токен VSTR до сих пор имеет всего 1643 держателя, что ещё больше ограничивает эффект от взлома. 

токен мгновенно обвалился , с $0,013 до $0,005. Позже VSTR немного поднялся до $0,009, но остается крайне неликвидным и волатильным. Помимо прямых потерь, VSTR также потерял половину своей рыночной капитализации.

На данном этапе VSTR может представлять даже больший риск, чем мем-токены на ранней стадии развития. Самый большой риск заключается в том, что токены VSTR обладают ликвидностью всего в 1,9 млн долларов, которая не заблокирована и может быть использована в дальнейшем для мошенничества. 

Другой риск для проекта заключается в том, что его контрактыtracфункции из внешних смарт-контрактовtracчто привело к общему предупреждению на CoinGecko. Vestra DAO заявила, что внесла свой контракт для стейкинга в черный списокtracно неизвестно, существуют ли аналогичные уязвимости для других смарт-trac. 

Даже в проектах, прошедших аудит, смарт-tracне всегда могут быть полностью безопасными и содержать уязвимости. В случае с VestraDAO проект на ранней стадии может восстановиться и повысить свою надежность. 

Vestra DAO привлекла внимание турецкого криптосообщества, одной из самых активных групп первопроходцев. Токен VSTR даже имел цену конвертации в турецкие лиры.