Haker ukradł środki cyfrowe o wartości 7 milionów dolarów ze smart kontraktu DAO Maker i natychmiast przekonwertował aktywa z USDC na ETH.
DAO Maker padła ofiarą exploita
Platforma fundraisingowa DAO Maker padła ofiarą exploita. Z tysięcy kont użytkowników zniknęły środki o wartości przekraczającej 7 milionów dolarów.
Analitycy firmy PeckShield poinformowali, że atak był wynikiem „głupiego błędu” w jednym ze smart kontraktów. Luka mogła dać nieznanej stronie trzeciej uprawnienia do wytransferowania środków.
Odnosząc się do zdarzenia, dyrektor generalny DAO Maker Christoph Zaknun oświadczył:
„Musimy ogłosić, że we wczesnych godzinach 12 sierpnia (ok. 1:00 UTC) DAO Maker doświadczył złośliwego ataku na jeden z naszych portfeli wykorzystując uprawnienia administratora”.
Napastnik zdołał przekonwertować swój łup na 2261,45 ETH i wysłał go do portfela Ethereum, aby zapobiec wpisaniu środków na czarną listę.
Kilku użytkowników z grupy DAO Maker na Telegramie poinformowało, że ich salda USDC spadły wczoraj rano do zera.
Wstępna analiza zdarzenia sugeruje, że przedmiotem ataku stały się stablecoiny USDC zdeponowane przez użytkowników w ramach konkretnego smart kontraktu. Możliwość deponowania środków w kontrakcie została dezaktywowana.
W raporcie podsumowującym efekty zdarzenia DAO Maker poinformował, że ofiarami ataku padło w sumie 5251 użytkowników, ze stratami wynoszącymi średnio 1250 USD na użytkownika.
DAO Maker prowadzi fundraising na nowe projekty na Ethereum. Przed rozpoczęciem oficjalnej, publicznej sprzedaży, platforma wymaga od użytkowników wcześniejszego zasilenia portfeli tokenami USDC, aby uniknąć wojen gazowych. Po dokonaniu alokacji, stosowna liczba USDC zostaje automatycznie potrącona z konta.
Analitycy twierdzą, że exploiter był w stanie doprowadzić do wycofania środków, ponieważ kontrakt nie zawierał odpowiednich środków bezpieczeństwa. Zwrócili również uwagę, że zaatakowany kontrakt nie został zweryfikowany na Etherscan. Brak weryfikacji jest zwykle uważany za czerwoną flagę i sugeruje, że zespół dopuścił się zaniedbań w swojej pracy.
Atak nastąpił niedługo po tym, jak założyciele projektu poinformowali o niemałych wzrostach w zakresie wolumenu w ramach ich launchpada – DAO Pad.