DeFi-протокол ликвидности Sentiment подвергся атаке. Неизвестный украл свыше $500 000 в цифровых активах.
1/2 The Sentiment team is currently investigating the indictable extraction of funds from the Sentiment protocol. We have taken steps to identify the exploit's root cause and mitigate further protocol misuse.— Sentiment (@sentimentxyz) April 4, 2023
Команда проекта подтвердила инцидент, но не озвучила сумму ущерба. Разработчики начали расследование, обратились за содействием к правоохранительным органам и аналитическим фирмам.
"Коллектив Sentiment в настоящее время расследует вывод средств из протокола. Мы предприняли шаги, чтобы определить основную причину эксплойта и предупредить дальнейшие злонамеренные действия", — заявили в Sentiment.
1/2 The Sentiment team is currently investigating the indictable extraction of funds from the Sentiment protocol. We have taken steps to identify the exploit's root cause and mitigate further protocol misuse.— Sentiment (@sentimentxyz) April 4, 2023
Согласно ончейн-исследователям, злоумышленник использовал ошибку повторного входа на платформе Balancer для исполнения вредоносного кода. Он взял флеш-кредит на Sentiment, манипулируя данными завысил цену залога и вывел через мост Synapse Bridge 536 738,4 USDC в сети Arbitrum.
Quick analysis we made with @lekhovitsky about @sentimentxyz incident: https://t.co/CHfr0lB19OTL;DR:Attacker used view re-entrance Balancer bug to execute malicious code before pool balances were updated and steal money using overpriced collateral— 0xmikko.eth (@0xmikko_eth) April 4, 2023
Некоторые эксперты отметили, что это повторяющаяся атака.
Специалисты компании Beosin определили, что потери протокола в результате атаки составили около $1 млн. Они подтвердили, что злоумышленник использовал баг повторного входа.
Sentiment protocol was under an attack with a loss of ~$1 million caused by a price error due to reentrancy.https://t.co/1cFOxqpbZV https://t.co/5biOuaIKCo pic.twitter.com/2Luk7YcuLA— Beosin Alert (@BeosinAlert) April 5, 2023
По данным DeFi Llama, на фоне взлома стоимость заблокированных в Sentiment активов обвалилась практически вдвое — с $10,78 млн до $5,27 млн.
Данные: DeFi Llama.
"Сегодняшняя атака Sentiment, которая обошлась в $1 млн, включала целый фестиваль классических проблем с безопасностью, включая ненадлежащее поведение повторного входа на Balancer. Но основная проблема заключалась в том, что Sentiment суммировал активы в AMM, подсчитывая их долларовую стоимость", — заключил блокчейн-специалист Даниэль Фон Фанг.
Today's $1 million dollar Sentiment attack involved a whole festival of classic security problems, including bad reentrancy behavior on Balancer's part.But the core problem was that Sentiment totaled up the assets on an AMM to get a dollar value for them. https://t.co/Q1GmqN0Dv2— Daniel Von Fange (@danielvf) April 4, 2023
Напомним, в апреле кроссчейн-мост Allbridge потерял цифровые активы стоимостью около $570 000 в результате хакерской атаки.
В комментарии для ForkLog сооснователь проекта Андрей Великий рассказал о реальной сумме ущерба и векторе атаки на протокол, возможности возврата средств и плане компенсации пострадавшим пользователям.
