Ранним утром 28 января команда проекта Qubit Finance опубликовала заявление в твиттере, сообщив о том, что некий злоумышленник использовал уязвимость в протоколе, чтобы выпустить неограниченное количество токенов. Другие подробности взлома на момент публикации отсутствуют.
«Протокол был взломан; [адрес кошелька]. Хакер выпустил бесконечное количество xETH и взял под них кредит на BSC. В настоящее время команда разрабатывает план действий совместно со специалистами по безопасности».
Qubit потерял $80 млн
Компания PeckShield, занимающаяся безопасностью блокчейна и аудитом смарт-контрактов, подтвердила эксплойт, заявив:
«Похоже, что QBridge @QubitFin взломали, выпустили огромное количество xETH, использовали их в качестве залога и забрали из пула токены на сумму около $80 млн. Обратите внимание, что мы проводили аудит кредитования Qubit, а не QBridge!»
В последнем сообщении команда DeFi-протокола объяснила, что она пытается выследить злоумышленника и найти похищенные активы. Они уже обратились к хакеру и предложили ему вознаграждение, если он все вернет.
По данным BSCscan, на кошельке, связанном со взломом DeFi-протокола, лежит 206 809 BNB ($79,7 млн).
По данным RugDoc, канала, отслеживающего эксплойты в сегменте DeFi, Qubit — третья или четвертая жертва среди протоколов PancakeBunny на базе BSC.
Как взломали Qubit
Компания CertiK Security сообщила, что злоумышленник вызвал функцию депозита в контракте QBridge, но не внес средства. Ethereum QBridge зафиксировал событие депозита и выпустил для хакера $qXETH на блокчейне BSC.
«QBridge обрабатывает событие депозита как пополнение #ETH, потому что методы „deposit“ и „depositETH“ в контракте QBridge вызывают одно и то же событие».
Хакер повторил процедуру несколько раз, увеличив добычу почти до $80 млн. Таким образом, по данным DeFiYield, этот взлом стал седьмым по величине в сегменте децентрализованных финансов.
Токен проекта обрушился
Qubit Finance — это DeFi-протокола кредитования, оптимизированный для предоставления кредитов в сети Binance Smart Chain. Нативный токен платформы QBT за два часа рухнул на 31% и в настоящее время торгуется на рекордно низком уровне в $0,004, что на 99?2% ниже сентябрьского исторического максимума в $0,58.
В прошлом месяце DeFi-протокол Grim Finance потерял $30 млн, а неделей ранее хакеры вывели $1,1 млн из протокола Brinc Finance.