Kolejny projekt na BSC zhackowany. Spartan Protocol traci 30 mln USD

Projekt DeFi zbudowany na Binance Smart Chain o nazwie Spartan Protocol padł ofiarą hakera, który wydrenował 30,5 mln USD. Póki co nie udało się namierzyć sprawcy. Projekt przebudowuje już drugą wersję protokołu, aby zaimplementować poprawki.

Czym jest/był Protokół Spartan?

Spartan Protocol to platforma dla dostawców płynności i syntetycznych aktywów. Token SPARTA ma swój wewnętrzny mechanizm cenowy i nie musi polegać na zewnętrznych wyroczniach w celu ustalenia ceny. Taki system może stanowić fundamentalną podstawę dla pozbawionej zaufania sieci swapów, tokenów syntetycznych, pożyczek, instrumentów pochodnych i innych - przynajmniej w teorii i według zespołu. Spartan Protocol twierdzi, że "nie ma inwestorów, nie ma tokenów zespołu i nie ma skarbca". Według twórców projektu to osobiste fundusze zespołu wspierały płynność w protokole i one również zostały skradzione. Aktualnie zespół pracuje nad odbudową systemu od podstaw, twierdząc, że "odbudują mur obronny" wolny od błędów i kodu umożliwiającego podobne hacki.

Jak doszło do hacku?

To jak doszło do wykorzystania protokołu świetnie wyjaśnia poniższy temat na Twitterze:

4/12 3) Send tokens and SPARTA to pools, then calls the addLiquidity() function to mint LP tokens 4) Repeat step two 5) Send tokens and SPARTA purchased in the fourth step to pools, without calling addLiquidity() pic.twitter.com/gJecl6DFQd

— Igor Igamberdiev (@FrankResearcher) May 2, 2021

Błąd w kodzie Spartan Protocol wykorzystywał aktualne salda zamiast sald z pamięci podręcznej (jak to robi Uniswap) w celu obliczenia wartości tokenów LP. Pozwoliło to na rozbicie tokena LP na więcej złożonych tokenów niż powinno, ponieważ ceny otrzymane przez protokół były nieprawidłowe. Podobne ataki flash loan były obserwowane w przeszłości, jak np. włamanie do Uranium Finance, podczas którego utracono 50 mln dolarów. W incydencie Spartan Protocol skradziono ponad 30,5 mln dolarów, w tym około 19 mln dolarów w BNB. Hacki tego typu przypominają, że kod jest tak bezpieczny, jak programista, który go napisał. Co więcej daje świetny obraz tego, że przestrzeń kryptowalut jako całość wciąż się kształtuje. Każda obietnica nieprzyzwoitych zysków zawsze wiąże się z ryzykiem i inwestorzy powinni zawsze o tym pamiętać. Według Twittera Spartan Protocol, firma CertiK, zajmująca się bezpieczeństwem i audytem kryptowalut, przeprowadziła audyt ich kodu we wrześniu 2020 roku. Jest to ten sam kod, który został wykorzystany przez hakera.