- Злоумышленник провёл более двух дней, создавая 423 кошелька и пулы фейковых токенов до эксплойта.
- Дефект защиты от проскальзывания учитывал одно и то же значение токена дважды на последующих этапах замены.
- Tether заморозил $3,29 миллиона USDT непосредственно в кошельке злоумышленника, когда начались работы по восстановлению.
Rhea Finance опубликовала на этой неделе подробный анализ после потери $18,4 миллиона из-за эксплойта, который следователи описывают как комбинацию двух известных векторов DeFi-атак, объединённых во что-то новое. Они сообщили , что атака произошла всего за несколько минут. Подготовка заняла два дня.
Подготовка
С 13 по 15 апреля злоумышленник тихо построил инфраструктуру, необходимую для слива:
- Создал тематический кошелёк, финансируемый через кросс-чейневые переводы
- Средства распределены между 423 уникальными промежуточными кошельками в быстрой автоматизированной последовательности
- Внедряли специально созданные фальшивые контракты на токены, которые не раскрывали стандартных метаданных
- Создал восемь новых торговых пулов на Ref Finance, объединяя фейковые токены с USDC, USDT и wNEAR по искусственно контролируемым ценовым коэффициентам
- Построил swap-роутер, соединяющий эти фейковые пулы как вектор атаки
К моменту запуска эксплойта 16 апреля вся инфраструктура уже была готова и ждала ожидания.
Как на самом деле работал трюк с проскальзыванием
Техническая изящество атаки делает её заметной. Функция маржинальной торговли Rhea Finance включает защиту от проскальзывания, которая суммирует ожидаемые результаты по всем этапам свопа для подтверждения оценки справедливой стоимости пользователями. Злоумышленник обнаружил ошибку в том, как это вычисление работает на последующих шагах.
Эксплойт в простых выражениях:
- Шаг 1: 1 000 USDC конвертируется в 999 AttackerToken с минимальным выходом 999
- Шаг 2: 999 AttackerToken конвертирует обратно в 1 USDC с минимальным выходом 1
- Проверка проскальзывания видит: 999 плюс 1 равно 1 000. Выглядит нормально.
- Реальность: только один USDC вернулся в протокол. 999 USDC находится в пуле злоумышленников.
Проверка засчитывала AttackerToken как конечный выход, не признавая, что он был немедленно потрачен на следующий этап. Заимствованные средства направлялись в поддельные пулы злоумышленников. Позиции сразу стоили значительно меньше своих долгов, что вызвало принудительные ликвидации, которые истощали резервный пул.
Ближайший прецедент — эксплойт KyberSwap 2023 года, который стоил $54,7 миллиона по тому же принципу двойного подсчёта одного и того же значения в последовательных операциях.
Где обстоят дела
Около 9 миллионов долларов из 18,4 миллиона уже были возвращены или заморожаны, включая 3,29 миллиона долларов США, замороженных Tether непосредственно в кошельке злоумышленника. Кредитный контракт приостановлен, пока продолжаются работы по восстановлению.
Команда Near Intents предположила, что злоумышленник был идентифицирован и, возможно, даже имеет публичное присутствие на X. Официальное отслеживание было открыто с помощью централизованных бирж для идентификации владельца счета.
Анализ Rhea Finance включает полную хронологию атак, хеши транзакций и точную строку уязвимого кода. Это описывается как одно из самых детальных раскрытий эксплойтов в истории DeFi.
Связано: Rhea Finance пострадала от эксплойта на $7,6 млн после атаки на фейковый пул токенов
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
