Команда DeFi-проекта Indexed Finance утверждает, что вычислила злоумышленника, который вывел из протокола активы приблизительно на $16 млн.
The 10% offer has expired. The attacker has until EOD to return 100% of the stolen funds or his information will be published and law enforcement notified.https://t.co/am2XnwL5fD
— Indexed Finance (@ndxfi) October 16, 2021
Indexed Finance предлагает пользователям доступ к цифровым индексам, ориентированным на криптоиндустрию. Эти инструменты представляют собой токены стандарта ERC-20, размещенные в пулах ликвидности под управлением «форка протокола Balancer».
15 октября злоумышленник воспользовался уязвимостью в механизме ребалансировки пулов ликвидности проекта. Атака затронула два индексных токена — DEFI5 и CC10. Для ее реализации злоумышленник воспользовался мгновенными займами.
16 октября разработчики протокола выставили хакеру ультиматум. Они дали ему время вернуть средства до конца дня и угрожали в противном случае опубликовать его данные и обратиться в правоохранительные органы.
Злоумышленник не вернул средства в срок, но и команда Indexed Finance не выполнила свои угрозы. Разработчики пояснили, что внесенные хакером изменения в аккаунте дали им понять, что он значительно моложе, чем они думали.
The ultimatum has not been met.
In the minutes before the deadline elapsed, @ZetaZeroes made changes to his accounts that have made us realise at the last minute that the attacker is significantly younger than we thought.
— Indexed Finance (@ndxfi) October 17, 2021
Член команды Indexed Finance Лоуренс Дэй сказал Decrypt, что помимо DEFI5 и CC10 пострадал еще один актив — метаиндекс FFF.
По словам Дэя, токен в нынешнем виде придется ликвидировать. Проект разрабатывает план компенсации пользователям.
17 октября предполагаемый хакер под ником ZetaZeroes написал, что кто-то скопировал его атаку и вывел из пула FFF активы на $5 млн.
You were out-traded. There is nothing you can do about that.
Had you and your LP providers put in the time and effort to understand balancer pools more,
you would have been able to keep this from happening and even out-trade me.— ZetaZeroes (@ZetaZeroes) October 17, 2021
Свои действия он назвал арбитражем и высказал сомнения в раскрытии командой Indexed Finance его личности.
«Вы проторговались. Ничего не поделать. Если бы вы и ваши поставщики ликвидности потратили время и усилия, чтобы лучше понять пулы Balancer, могли бы это предотвратить и даже превзойти меня», — написал он.
Напомним, в сентябре взломщик DeFi-протокола Cream Finance вернул большую часть из украденных активов на сумму около $18 млн.