Многомиллиардный игровой блокчейн-гигант Illuvium обнаружил уязвимость в своей платформе для стекинга и срочно выкачал все средства из пула Uniswap, чтобы не дать это сделать злоумышленникам.
We have found a vulnerability in our staking contracts, and as such, the eDAO has put a temporary pause on $sILV minting. The attack vector has been closed, and no funds have been compromised. This is purely a protection mechanism for the DAO. (1/2)
— Illuvium (@illuviumio) January 4, 2022
Сначала команда заявила, что, хотя они и обнаружили уязвимость, «средства не были скомпрометированы». Однако запись ноябрьских транзакций показывает, что кражи происходят продолжительное время и разработчикам пришлось их признать. Серии адресов последовательно вносили некоторую сумму токенов sILV, а затем снимали большую сумму, чем первоначальный депозит. Этот процесс каждый раз повторялся на новом адресе.
Сейчас злоумышленники осмелели и из пула sILV/ETH на Uniswap V3 в череде крупных транзакций были выведены практически все средства. В сообщении на официальном Discord соучредитель проекта Аарон Уорвик сообщил, что для спасения оставшихся средств разработчикам пришлось забрать их из пула.
В настоящее время неизвестно, сколько всего токенов sILV злоумышленник смог украсть и конвертировать в ETH.
«Мы знали, что хакер был готов продать весь свой запас sILV, и сумма, которую он имел, полностью опустошила бы пул, — сказал Уорвик. — Мы попытались его опередить, в результате что-то получил он, а что-то — мы».
Разработчики сообщили, что работают над компенсацией пострадавшим пользователям.