Vestra DAO, похоже, был взломан. Аналитики сети отметили подозрительную активность, когда токены VSTR, собственные токены протокола ERC-20, перемещались из доступных смарт-контрактов и немедленно отправлялись в миксер Tornado.

На момент отчетов было украдено токенов на сумму не менее $480 тыс. Хотя первоначальная атака была относительно небольшой, риск для других участников оставался. Исследователь сети Чаофань Шоу первым заметил эксплойт, посоветовав всем пользователям отозвать разрешения.

Vestra DAO @Vestra_DAO только что был взломан, и это все еще продолжается. Убытки составляют уже $480K, и это не предел. Сразу же снимите свою долю и заберите ликвидность. pic.twitter.com/0b9i1lhrEw

— Чаофан Шоу (@shoucccc) 4 декабря 2024 года

Эксплуатация затронула контракт стейкинга токенов VSTR, средства были немедленно ликвидированы и отправлены в миксер Tornado. Для VSTR более 65% токенов заблокированы для управления, с более чем 34B токенов.

Затронутый смарт-контракт содержит оставшиеся 755M токенов VSTR, что составляет 1.51% от общего предложения. Несмотря на атаку на относительно небольшой токен, последовавший крах рынка стер еще большую ценность из проекта. На данный момент у Vestra DAO может быть достаточно VSTR в резерве, чтобы компенсировать пользователям, пытаясь восстановить свой репутационный ущерб.

Эксплуататор ждал месяц, прежде чем воспользоваться логической ошибкой контракта

Эксплуататор продал в спешке, заплатив 0.51 ETH компании Beaverbuild за приоритетное включение в блок. Заблокированный контракт стейкинга Vestra DAO был затронут, напрямую выпуская токены VSTR.

В течение нескольких часов эксплуататор отправлял спам-транзакции на 520K или 500K VSTR в контракт, в итоге торгуя на сумму $480K. Атака использовала логическую ошибку в контракте, что позволило хакеру получать 20,000 VSTR после каждой транзакции.

Анализ в блокчейне показал, что злоумышленник впервые застейкал VSTR в контракт 30 дней назад, выжидая и изучая недостаток контракта. Затем автоматизированная серия транзакций начала извлекать VSTR с каждой итерацией стейкинга и анстейкинга.

Проверки данных при каждом депозите и выводе не вызвали никаких предупреждений, что позволило злоумышленнику исчерпать контракт через несколько транзакций депозитов и выводов. Контракт проверял срок только один раз, но хакер выполнил требование, застейкав 30 дней назад.

Результатом эксплуатации стал улов в 125 ETH, который был смешан через Tornado Cash. Злоумышленник потратил $40K на газ Ethereum для самых быстрых возможных обменов, на короткое время став крупнейшим пользователем газа в сети.

Vestra DAO не сообщила подробностей атаки и утверждала, что средства пользователей остались нетронутыми. Тем не менее, контракт был исчерпан из своих токенов VSTR, что явно забрало ценность у проекта.

Токены VSTR были взломаны через месяц после запуска торговли

Vestra DAO - это относительно новый проект, токены VSTR торгуются с 6 ноября. Токен доступен только в паре торговли Uniswap V3.

DAO провело свое первое предложение 14 октября, которое было связано с продажей 1B токенов из казны проекта. Токен VSTR все еще имеет всего 1,643 держателя, что усугубляет ограниченный эффект взлома.

Токен сразу же упал после атаки, с $0.013 до $0.005. Позже VSTR поднялся до $0.009, но остается чрезвычайно неликвидным и волатильным. В дополнение к прямым потерям, VSTR также стер половину своей рыночной капитализации.

На данный момент VSTR может быть даже рискованнее, чем токены мемов на ранних стадиях. Главный риск заключается в том, что токены VSTR имеют всего лишь $1.9M ликвидности, которая не заблокирована и может быть дополнительно использована для rug pull.

Vestra DAO (VSTR) по-прежнему полагается на пару Uniswap V3, в то время как его ликвидность разблокирована и подвержена риску rug pull. | Источник: DexScreener

Другой риск для проекта заключается в том, что его контракты вызывают функции из внешних смарт-контрактов, что приводит к общему предупреждению на CoinGecko. Vestra DAO утверждала, что занесла в черный список свой контракт стейкинга, но неизвестно, существуют ли аналогичные уязвимости в других смарт-контрактах.

Даже для проверенных проектов смарт-контракты не всегда могут быть полностью безопасны и могут содержать возможности для эксплуатации. В случае с VestraDAO ранний проект может восстановиться и повысить свою надежность.

Vestra DAO обратилась к турецкому криптосообществу, одной из самых активных групп ранних пользователей. У токена VSTR даже была цена конверсии в турецкую лиру.

От нуля до Web3 Pro: ваш 90-дневный план запуска карьеры