Сооснователь Allbridge рассказал о реальной сумме ущерба и векторе атаки на протокол
Хакерская атака на кроссчейн-мост Allbridge стала возможна из-за ошибки в математической формуле расчета ликвидности и публичного характера информации о кодовой базе смарт-контракта. Об этом в комментарии ForkLog сообщил сооснователь проекта Андрей Великий.
Ошибка в математике
Allbridge по просьбе партнеров, в том числе в связи с предстоящей интеграцией Arbitrum, открыл код смарт-контракта в рамках его верификации. Ранее команда также публиковала математическую формулу, по которой работает пул ликвидности.
"Мост устроен таким образом, что он все время старается выровнять ликвидность. Грубо говоря, если есть какой-то перекос, он в одну сторону начинает штрафовать, а в другую — доплачивать. Это позволяет пользователям зарабатывать на арбитраже", — рассказал Великий.
Однако в граничных значениях формулы была ошибка — допустимая сумма входящих и исходящих транзакций оказалась значительно выше находящейся в пулах ликвидности.
"Атакующий положил деньги в пул ликвидности, провел серию свопов, и мы неправильно посчитали на уровне математики, сколько ему выдать денег при таком большом перекосе ликвидности. Вышло так, что он забрал не только свои, но и чужие деньги, фактически опустошая пул BNB Chain", — объяснил сооснователь Allbridge.
Затем хакер перевел активы на сумму $570 000 в BNB и отправил их на Tornado Cash.
Вскоре после этого другой неизвестный повторил атаку. Он забрал порядка $160 000 в стейблкоинах. На момент написания эти средства находятся на его адресе без движения.
Кроме того, когда пул на BNB Chain опустел, другие пользователи также попытались заработать, пересылая деньги между истощенным и остальными пулами до момента остановки моста.
Личность хакера
Команде протокола удалось связаться с первым взломщиком и
Читать на forklog.com

