Протокол однорангового страхования Cover Protocol завершает год не устояв перед действиями хакера. Злоумышленник нашел уязвимость, которая позволила бесконечно создавать нативные токены и с ее помощью за два часа выпустил более 40 квинтиллионов токенов.
Attacker minted for around 2 hours, then first dumped 113 $COVER on 1inch.
Minted for another hour or so, then final dump here: https://t.co/DNU94gcbKp pic.twitter.com/pFq9eZWlwO
— NansΞn (@nansen_ai) December 28, 2020
Через агрегатор децентрализованных бирж 1inch, хакер продал примерно 11700 токенов и заработал более 3 миллионов долларов. Но потом неожиданно хакер сжег созданные токены и вернул проекту заработанные деньги, снабдив их запиской: «В следующий раз позаботьтесь о своем дерьме».
Next time, take care of your own shit.@CoverProtocol @chefcoverage https://t.co/ks94ucdoRQ
1. No gains.
2. The Obtained Funds from LP has been returned to COVER.— Grap.finance (@GrapFinance) December 28, 2020
Таким образом, это оказался белый хакер, который просто продемонстрировал ненадежность протокола.
По словам команды разработчиков, уязвимость затронула только создание токенов, в то время как средства в пулах остались в безопасности.
«Для бесконечного создания токенов COVER был использован фермерский контракт Blacksmith. Чтобы остановить злоумышленника, мы ограничили доступ к функции выпуска токенов и к фермерскому контракту. Если вы предоставляете ликвидность для токена COVER (на Uniswap или Sushiswap), то пожалуйста, удалите средства немедленно», — говорится в объявлении.
Атака вызвала снижение цены токена COVER более чем на 97% и негатив в социальных сетях. В ноябре Cover Protocol объединился с популярным проектом Yearn Finance, обещая долгую успешную работу, а сейчас стал очередной жертвой волны DeFi взломов.