Эксплойт Token of Power слил $1,58 млн из пула Balancer

Token of Power подвергся эксплойту во вторник, в результате которого из его пула ликвидности было выведено более 1,5 млн $. Ончейн-компании Blockaid, PeckShield и Cyvers сообщили об инциденте в публикациях на X.

• Token of Power потерял 944,2 WETH стоимостью около 1,58 млн $ из своего пула TOP/WETH Balancer V1.
• Blockaid охарактеризовал инцидент как атаку с захватом управления, тогда как Cyvers установил, что средства были выведены из пула Balancer.
• Данные PeckShield показали, что впоследствии злоумышленник перевёл похищенные средства в криптомиксер Tornado Cash.

Атака была направлена на пул TOP/WETH Balancer V1, из которого было выведено 944,2 WETH.

Эксплойт токена TOP затронул пул Balancer

Token of Power, известный также как TOP, — это токен ERC-20 на основе блокчейна Ethereum. Проект работает под управлением DAO под названием The Mask of Power. Проект создал TOP на основе коллективного владения определённым NFT MetaMask. Его токен также обеспечивал ликвидность для рыночной деятельности проекта. 

По словам Cyvers, злоумышленник вывел средства из пула TOP/WETH Balancer V1. Пул содержал токены TOP и Wrapped Ethereum в структуре 50/50. Wrapped Ethereum, или WETH, представляет ETH в формате токена, используемого в DeFi. 

Пул Balancer V1 функционировал как автоматизированное торговое хранилище для обоих активов. Blockaid охарактеризовал инцидент как «атаку с захватом управления» в своей публикации на X. PeckShield и Cyvers также опубликовали предупреждения, когда транзакционная активность стала видна ончейн.

Ончейн-компании сообщают о потере 944,2 WETH

Ончейн-аналитические компании сообщили, что злоумышленник добавил в пул большое количество токенов TOP. Затем злоумышленник обменял эти токены на реальные резервы WETH пула. В результате эксплойта было выведено 944,2 WETH стоимостью около 1,58 млн $ на тот момент. 

После вывода средств в пуле остались сильно разбавленные токены TOP. Инцидент оставил поставщиков ликвидности с токенами, имеющими низкую рыночную стоимость. Подробности о восстановлении, компенсации или дальнейших шагах проекта пока недоступны.

Данные PeckShield показали, что впоследствии злоумышленник перевёл похищенные средства в Tornado Cash. Tornado Cash — это криптомиксер, который может существенно затруднить отслеживание средств. Перевод в Tornado Cash последовал за первоначальным выводом средств из пула Balancer. Компании по безопасности ещё не опубликовали полный технический отчёт об инциденте.

Эксплойт последовал за отдельным взломом Humanity Protocol

Инцидент с Token of Power произошёл на день позже другого сообщённого нарушения безопасности в DeFi. Как сообщал crypto.news,  Humanity Protocol потерял 36 млн $ пользовательских средств в результате взлома ноутбука сотрудника. Два инцидента затронули разные проекты и использовали разные векторы атак. 

Тем не менее оба случая привлекли внимание компаний по безопасности блокчейна на этой неделе. Взлом Humanity Protocol затронул проект цифровой идентификации, построенный на блокчейн-инфраструктуре. Эксплойт Token of Power, напротив, был сосредоточен на пуле ликвидности.

Проект TOP ещё не опубликовал полный разбор инцидента в предоставленных данных. Дополнительная информация о маршруте злоумышленника и возможных действиях проекта ожидается. Blockaid, PeckShield и Cyvers по-прежнему остаются основными источниками информации об инциденте. Их предупреждения определили затронутый пул, предполагаемый ущерб и движение средств.