Неизвестный злоумышленник опустошил пулы ликвидности YCURVE и sUSD проекта Akropolis в стейблкоинах DAI на $2 млн. Он взломал смарт-контракты, дважды прошедшие аудит.
По наблюдениям аналитика Стивена Чжена, хакер вывел активы траншами по 50 000 DAI на протяжении семи часов до полного исчерпания ликвидности в пулах.
Впоследствии злоумышленник перевел средства на новый адрес.
DeFi-проект Akropolis позволяет брать кредиты и генерировать доходность по криптовалютным депозитам.
Согласно заявлению проекта, пулы прошли проверку двух независимых аудиторских фирм. Они не обнаружили уязвимость в сберегательной части сервиса, использующей протокол Curve. Хакер осуществил серию атак с получением мгновенных займов (flash loans). Подобные займы возвращаются в течение одного блока транзакций, позволяя не использовать обеспечение.
Команда проекта приступила к выполнению ряда процедур безопасности. Все пулы стейблкоинов приостановлены, биржи получили уведомления. Сторонние специалисты по безопасности вместе с разработчиками изучают проблему.
Средства в Compound DAI, Compound USDC, AAVE sUSD, AAVE bUSD, Curve bUSD и Curve sBTC, а также в нативных токенах AKRO и ADEL не пострадали и находятся в безопасности.
Проект изучает способы возмещения пользователям убытков и в ближайшее время представит свое предложение.
На фоне сообщений о взломе курс Akropolis (AKRO) упал в моменте на 23%. Снижение цены за последние сутки составило 18,9%.
Часовой график AKRO/USD от CoinGecko.
Инцидент в целом не повлиял на сектор децентрализованных финансов. Согласно DeFi Pulse, объем заблокированных средств в протоколах установил новый рекорд в $13,74 млрд.
Напомним, в конце октября хакер вывел $19,8 млн с платформы Harvest Finance через манипуляцию курсами стейблкоинов в DeFi-протоколе Curve.