Новый агрегатор децентрализованного финансирования Force столкнулся с проблемой прямо на старте — через несколько часов после запуска, его атаковали пять хакеров.
Четыре хакера смогли вывести из протокола нативные токены FORCE на сумму примерно $367000. Пятый хакер оказался «белым», поэтому он вернул свои украденные средства и связался с разработчиками, чтобы предотвратить дальнейшие потери.
Затронутый контракт xFORCE является форком смарт-контракта SushiSwap. Он имеет в себе механизм возврата токенов на случай неудачных транзакций и именно в нем была ошибка. Злоумышленники использовали ошибку для создания токенов, затем вывели их и обменяли на ETH. Разработчики Force взяли вину за потерю средств на себя и сказали, что атака стала результатом «технического недосмотра», который можно было легко предотвратить.
«Всего этого можно было избежать, используя стандартный Open Zeppelin ERC-20 или добавив оболочку safeTransferFrom в контракт xSUSHI», — говорится в сообщении.
Разработчики приняли решение провести голосование чтобы сжечь оставшиеся токены на адресах хакеров. Кроме того, будет сделан снимок балансов пользователей и проект повторно перезапустится с новыми токенами.
Разработчики добавили, что взлом в настоящее время расследуется совместно с биржами, так как некоторые адреса хакеров находятся на FTX и Binance.
