Протокол Sentiment втратив $500 000 унаслідок зламу
DeFi-протокол ліквідності Sentiment зазнав хакерської атаки. Невідомий украв криптоактиви на понад $500 000.
1/2
— Sentiment (@sentimentxyz) April 4, 2023
The Sentiment team is currently investigating the indictable extraction of funds from the Sentiment protocol.
We have taken steps to identify the exploit's root cause and mitigate further protocol misuse.
Команда проєкту підтвердила інцидент, але не розкрила суму збитків. Розробники розпочали розслідування та звернулися до правоохоронних органів і аналітичних фірм.
«Колектив Sentiment наразі розслідує виведення коштів із протоколу. Ми зробили кроки, щоб визначити основну причину експлойту та попередити подальші зловмисні дії», — заявили в Sentiment.
Згідно з ончейн-дослідниками, хакер скористався помилкою повторного входу на платформі Balancer для виконання шкідливого коду. Він узяв миттєву позику на Sentiment, маніпулюючи даними, завищив ціну застави і вивів через міст Synapse Bridge 536 738 USDC в мережі Arbitrum.
Quick analysis we made with @lekhovitsky about @sentimentxyz incident: https://t.co/CHfr0lB19O
— 0xmikko.eth (@0xmikko_eth) April 4, 2023
TL;DR:
Attacker used view re-entrance Balancer bug to execute malicious code before pool balances were updated and steal money using overpriced collateral
Фахівці компанії Beosin заявили, що втрати протоколу внаслідок атаки становили близько $1 млн. Вони підтвердили, що зловмисник скористався багом повторного входу.
Sentiment protocol was under an attack with a loss of ~$1 million caused by a price error due to reentrancy.https://t.co/1cFOxqpbZV https://t.co/5biOuaIKCo pic.twitter.com/2Luk7YcuLA
— Beosin Alert (@BeosinAlert) April 5, 2023
За даними DeFi Llama, на тлі зламу вартість заблокованих у Sentiment активів обвалилася майже вдвічі — з $10,78 млн до $5,27 млн.
«Сьогоднішня атака Sentiment, яка коштувала $1 млн, включала цілий фестиваль класичних проблем із безпекою, включно з неналежною поведінкою повторного входу на Balancer. Але основна проблема полягала в тому, що Sentiment підсумовував активи в AMM, підраховуючи їхню доларову вартість», — написав блокчейн-фахівець Даніель Фон Фанг.
Today's $1 million dollar Sentiment attack involved a whole festival of classic security problems, including bad reentrancy behavior on Balancer's part.
— Daniel Von Fange (@danielvf) April 4, 2023
But the core problem was that Sentiment totaled up the assets on an AMM to get a dollar value for them. https://t.co/Q1GmqN0Dv2
Нагадаємо, кросчейн-міст Allbridge зазнав зламу приблизно на $570 000. Співзасновник компанії Андрій Великий розповів ForkLog UA подробиці інциденту.