DAO Maker zhackowane. Projekt traci 7 mln USD

Kryptowalutowy launchpad DAO Maker padł wczoraj ofiarą hakerów. Napastnikom udało się wyprowadzić 7 milionów USDC.

Platforma fundraisingowa DAO Maker została dziś zhackowana, a napastnikowi udało się wykraść ponad 7 milionów dolarów z tysięcy kont użytkowników. Firma analityczna PeckShield twierdzi, że atak był wynikiem “głupiego błędu” w jednym ze smart kontraktów. Luka mogła dać napastnikowi uprawnienia do przelania środków na zewnątrz. Ogłaszając incydent, CEO DAO Maker – Christoph Zaknun, powiedział:

Musimy ogłosić, że we wczesnych godzinach 12 sierpnia (ok. 1 AM UTC) DAO Maker stanął w obliczu złośliwego wykorzystania jednego z naszych portfeli z dostępem do przywilejów administratora.

Napastnik przekonwertował łup na 2 261,45 ETH i wysłał go do portfela Ethereum, aby nie dopuścić do umieszczenia środków na czarnej liście. Kilku użytkowników w grupie Telegram DAO Maker podało, że ich salda USDC zostały kompletnie wyczyszczone.

Wstępna analiza tego zdarzenia sugeruje, że dotknięte zostały stablecoiny USDC zdeponowane przez użytkowników w ramach konkretnego smart kontraktu. Obecnie wszystkie depozyty w tym kontrakcie zostały dezaktywowane.

5251 użytkowników straciło po 1250 USD

W raporcie, DAO Maker poinformował, że w sumie poszkodowanych zostało 5251 użytkowników, a straty wyniosły średnio 1250 USD na użytkownika.

DAO Maker przeprowadza zbiórki pieniędzy na nowe projekty kryptowalutowe na Ethereum. Przed rozpoczęciem sprzedaży społecznościowej, platforma wymaga od użytkowników wcześniejszego zasilenia portfela tokenami USDC, aby uniknąć problemów z gazem. Po dokonaniu alokacji, USDC automatycznie zostaje odliczone od wstępnie zasilonego konta.

Analitycy twierdzą, że haker zdołał wywołać funkcje wypłaty, ponieważ w kontrakcie brakowało odpowiednich kontroli bezpieczeństwa. Zwrócili oni również uwagę na to, że kontrakt nie został zweryfikowany na Etherscan. Brak weryfikacji jest zwykle uważany za czerwoną flagę i sugeruje, że zespół zaniedbał swoją pracę.

Atak nastąpił krótko po tym, jak założyciele projektu informowali o rosnących wolumenach dla ich launchpada, DAO Pad. Zespół planował wydać w pełni regulowane tokenizowane akcje.

Rodzimy token DAO Maker również ucierpiał w wyniku tego incydentu, jednak niezbyt mocno. DAO token spadł dziś o około 15%, z 1,95 USD do 1,70 USD. Brak mocnych zaburzeń cenowych może wynikać z tego, że pojedyncze skarbce stakingowe składające się z natywnych tokenów nie zostały zhackowane.