Хакер вернул платформе Tender.fi активы на $1,59 млн за вознаграждение
Взломавший DeFi-протокол Tender.fi на базе Arbitrum хакер вернул выведенные активы в обмен на вознаграждение в 62,16 ETH (~$96 534).
Translation: The White Hat will repay all loans minus 62.158670296 ETH, which will be kept as a Bounty for helping secure the protocol. The https://t.co/H4ZMPLH9pz Team will repay the Bounty s value to the protocol, so that there will be no bad debt and users will remain… https://t.co/5bbmKu7zEe
— Tender.fi (@tender_fi) March 7, 2023
Эксплойт произошел 7 марта. Неизвестный использовал ошибку в конфигурации ценового оракула. В результате он заимствовал на платформе $1,59 млн в криптовалюте под залог одного токена GMX стоимостью около $71.
Хакер сам вышел на контакт с командой, отправив сообщение в транзакции:
«Похоже, ваш оракул был неправильно настроен. Свяжитесь со мной, чтобы разобраться».
Данные: Arbiscan.
Разработчики протокола подтвердили инцидент, отметив «необычное количество» заимствований на платформе.
We are investigating an unusual amount of borrows that came through the protocol- in the meantime, we have paused all borrowing. Thank you for your patience.
— Tender.fi (@tender_fi) March 7, 2023
Через несколько часов они сообщили, что пришли к соглашению со взломщиком. Последний вернул средства за минусом оговоренной награды в 62,16 ETH за «укрепление безопасности протокола».
«Исполнитель завершил погашение кредита. Фонды официально в безопасности, раскрытие информации об инциденте на подходе», — уточнила команда платформы.
The actor has completed the loan repayments. Funds are officially SaFu, post mortem on the way.
— Tender.fi (@tender_fi) March 7, 2023
Выплаченное «белой шляпе» вознаграждение проект компенсирует из собственных средств.
Напомним, в феврале DeFi-протоколы в результате семи взломов понесли ущерб в размере примерно $21,4 млн.
Крупнейшим по сумме убытка оказался эксплойт Platypus Finance на $8,5 млн.