defi-протокол Zabu лишился токенов на $3,2 млн, что, по-видимому, стало первым серьёзным взломом в экосистеме Avalanche.
Команда Zabu подтвердила новость, заявив, что средства были украдены из пула SPORE. Для атаки хакер использовал уже известный механизм.
We've been exploited today. What happened?
Everything was from a Pool of $SPORE Token -> https://t.co/D12H7uB5pD
Spore has Transfer Tax so that the attacker used the same mechanism with attacks explained on https://t.co/vXkCKPKBIz and https://t.co/SZiss6IC3R)
— Zabu Finance ? (@zabufinance) September 12, 2021
По словам разработчиков Zabu, злоумышленник использовал механизм «трансфертного налога» для выпуска токенов, в результате чего цена токена резко упала. Злоумышленник воспользовался слабым местом в контракте, используемом при доходном фермерстве для выдачи вознаграждений.
В компании, специализирующейся на безопасности, PeckShield отметили, что «ранее эта ошибка повторялась много раз».
Злоумышленник вывел из контракта 4,5 млрд токенов ZABU, а затем приступил к накоплению токенов LP на других фермах на биржах Avalanche Pangolin и Trader Joe. В конечном итоге токены были проданы, а хакер скрылся с добычей.
Команда Zabu планирует раздать токены ZABU v2 всем пострадавшим и перезапустить ферму в виде версии v2 со стейкинговым пулом Zabu v1 для тех, кто присоединился к процессу после взлома:
Таким образом, люди, которые потеряли деньги до взлома, получат токены и продолжат поддерживать протокол, если захотят. Поздние покупатели (после взлома) смогут участвовать в Farm V2, разместив купленное в стейкинговом пуле Zabu V1.
После атаки стоимость токенов ZABU упала почти до нуля – с $0,004 в воскресенье до $0,00002 в понедельник.
К сожалению, Zabu Finance присоединился к растущему списку протоколов DeFi, уязвимостью которых воспользовались в 2021 году. Согласно базе данных REKT DeFiYield, за последние пять лет из-за подобных взломов и мошенничеств инвесторы потеряли $1,7 млрд.