Молчание HectorDAO после взлома на 2,7 миллиона долларов шокирует инвесторов

Самые главные новости в Телеграм-канале CryptoMoon, присоединяйтесь!👇

Cryptomoon Telegram


Инвесторы децентрализованной автономной организации HectorDAO в сети Fantom требуют контроля над оставшимися средствами протокола после того, как чай якобы остановил все коммуникации после взлома 16 января, который привел к убыткам в размере 2,7 миллиона долларов.

В разговоре с CryptoMoon инвестор HectorDAO, пожелавший остаться анонимным, заявил, что команда HectorDAO прекратила общение со своим сообществом 19 января. По данным источника, все социальные каналы проекта были отключены в сентябре 2023 года.

В то время команда HectorDAO все еще разрешала контакт через адрес электронной почты группы Google. Однако DAO якобы удалила эту группу где-то до 19 января.

Что еще хуже, взлом произошел как раз в тот момент, когда протокол планировал самоликвидироваться и вернуть активы инвесторам. Предыдущие предупреждения безопасности якобы были проигнорированы.

По данным компании CertiK, занимающейся безопасностью блокчейнов, ее исследователи проинформировали команду HectorDAO о риске «централизации», создаваемом функцией «addEligibleWallet», основной причине эксплойта, и рекомендовали шаги по снижению этого риска.

Команда HectorDAO якобы решила не внедрять рекомендованные изменения по неизвестным причинам. CertiK сослалась на CryptoMoon на свой официальный аудиторский отчет, в котором говорилось, что функция может быть вызвана любой учетной записью с правами модератора.

Молчание HectorDAO после взлома на 2,7 миллиона долларов шокирует инвесторов

HectorDAO предлагает другую версию истории, утверждая, что протокол взаимодействовал с CertiK для проведения тщательного анализа безопасности смарт-контракта и что, вопреки заявлению CertiK, «все активы были защищены в хранилище погашения до запуска процесса производства претензий». .»

Анализ блокчейна с тех пор показал, что злоумышленник предположительно имел доступ к учетной записи развертывателя команды, подразумевая, что эксплойт был либо внутренней работой, либо результатом компрометации закрытого ключа. Последнее известное общение команды разработчиков с инвесторами состоялось 18 января, после чего она замолчала.

В этот понедельник сеть @Hector_Network пострадала от третьего взлома. Это почти наверняка внутренняя работа недовольной команды разработчиков.

Я провел вскрытие этого эксплойта и объяснил, как несколько кошельков развертывателей организовали это событие.

— lilbagscientist (@lilbagscientist) 19 января 2024 г.

Истоки взлома HectorDAO

История HectorDAO начинается в 2021 году, когда ее ранним инвесторам было разрешено покупать токен DAO, HEC, со скидкой через облигации DAO. Средства, собранные в ходе этого процесса, поступали в казну DAO, где теоретически каждый токен HEC представлял собой право собственности на часть казны, которая могла быть реинвестирована для получения дохода для держателей токенов.

На пике своего развития казначейство HectorDAO содержало цифровые активы на сумму более 100 миллионов долларов.

Но неприятности начались с наступлением криптозимы. По данным CoinMarketCap, к 1 мая 2023 года цена HEC упала почти на 99%. В то же время казначейство HectorDAO также снизилось в цене.

Эти трудности усугубились, когда 6 июля 2023 года взлом моста Multichain стоимостью 1,5 миллиарда долларов вызвал заражение в экосистеме Fantom. Это привело к убыткам HectorDAO еще в 8 миллионов долларов, поскольку некоторые из его казначейских активов были отделены от залога в Ethereum.

После этого инцидента инвесторы HectorDAO решили объявить о своем выходе, проголосовав в июле 2023 года за ликвидацию DAO и возврат ее средств пользователям. Однако, несмотря на голосование, большая часть из 16 миллионов долларов, находившихся в казначействе на момент голосования, так и не была распределена среди инвесторов к 15 января 2024 года, накануне взлома HectorDAO.

15 января команда HectorDAO попыталась окончательно распределить казначейские средства, переместив их в новый контракт, по которому их можно было бы выкупить. Однако злонамеренный аккаунт немедленно перевел себе активы на сумму 2,7 миллиона долларов после внесения всего 0,0001 HEC.

Вскоре после этого команда закрыла платформу погашения, а все оставшиеся активы были возвращены в казначейский контракт. С тех пор выплаты больше не возобновлялись.

18 января команда HectorDAO объявила, что платформа выкупа была взломана. «Hector Network с сожалением сообщает вам, что произошло нарушение безопасности при выкупе протоколом держателей токенов в рамках ликвидации, и 15 января 2024 года было украдено около 2,7 миллиона долларов США», — говорится в сообщении.

Команда заявила, что «активно расследует» нарушение и будет предоставлять обновленную информацию в будущем. Между тем, говорится в сообщении, «процесс выкупа пока отложен».

После объявления о взломе некоторые держатели токенов прямо обвинили команду разработчиков, заявив, что взлом был либо работой мошеннического разработчика, либо скомпрометированным секретным ключом. Они утверждали, что команде больше нельзя доверять в обеспечении безопасности средств DAO.

1/ Члены сообщества @hector_network недавно выразили обеспокоенность тем, что, по их мнению, контракт на выкуп был использован ранее за 2,7 миллиона долларов.

Поверхностное расследование фактов

— 0xBoboShanti (@ 0xБобоШанти) 15 января 2024 г.

19 января аналитик блокчейна Lilbagscientist опубликовал подробный отчет о вскрытии атаки, сославшись на данные Etherscan. По их словам, подготовка к атаке началась 16 декабря 2023 года, когда аккаунт-развертыватель HectorDAO отправил злоумышленнику 0,0001 HEC. Эти 0,0001 HEC оставались на счету до 15 января.

С 00:32 UTC до 00:43 15 января серия из 14 транзакций была отправлена ​​в Ethereum с помощью Treasury Multisig Wallet команды HectorDAO. После подтверждения эти транзакции привели к тому, что часть казначейских средств была переведена во временную мультиподпись казначейства HectorDAO, а другие были отправлены менеджеру по ликвидации Hector.

Затем менеджер по ликвидации Гектора обменял некоторые токены на другие на децентрализованной бирже, прежде чем отправить их во временное казначейство Multisig. В конце этого процесса вся казна HectorDAO была отправлена ​​во Временное казначейство Multisig.

Между 3:14 и 4:19 15 января временным казначейством Multisig было выполнено еще 16 транзакций, в результате чего средства были переведены в контракт Hector Redemption Treasury.

В 5:12 злоумышленник одобрил токен, позволяющий потратить до 1 HEC по Контракту на освобождение Гектора. Сразу после этого они внесли в контракт 0,0001 HEC.

Через минуту учетная запись развертывателя команды внесла кошелек злоумышленника в белый список, вызвав функцию addEligibleWallet в контракте Token Vault платформы. Эта транзакция также установила ставку погашения в размере 2,7 миллиона долларов США в монетах (USDC).

В 5:59 злоумышленник вызвал mintWithdraw по контракту Token Vault. Это привело к тому, что контракт Hector Redemption Contract отправил злоумышленнику 2,7 миллиона долларов США в долларах США и сжег 0,0001 HEC, которые были депонированы. Эта транзакция завершила атаку.

Нет четких шагов вперед

Последнее обновление веб-сайта HectorDAO было опубликовано 18 января. В последнем абзаце говорится, что процесс погашения «на данный момент отложен».

«Hector Network неустанно работает над решением этой проблемы, стремится поддерживать прозрачность на протяжении всего процесса и будет держать вас в курсе любых событий», — написала команда.

Тем временем инвесторы HectorDAO заявляют, что рассматривают возможность судебного иска на фоне неоднократных безуспешных попыток связаться с разработчиками протокола. Первоначально выплаты были запланированы на март, чтобы компенсировать инвесторам ликвидацию DAO. Расследование взлома продолжается.

CryptoMoon попыталась связаться с командой HectorDAO для получения комментариев, но к моменту публикации не получила ответа.

Смотрите также

2024-02-13 18:11