Indexed Finance предлагает пользователям доступ к цифровым индексам, ориентированным на криптовалютную индустрию. Эти инструменты представляют собой токены стандарта ERC-20, размещенные в пулах ликвидности под управлением «форка протокола Balancer». Для расчета процентного соотношения, цен и динамики активов проект использует оракул Uniswap.
По словам разработчиков, атака затронула два индекса — DEFI5 и CC10. Для ее реализации злоумышленник воспользовался мгновенными займами.
На момент атаки пул DEFI5 был готов к переиндексации, поскольку любой пользователь может запустить ее после трех ребалансировок, происходящих раз в неделю. Нативный токен Uniswap (UNI) был первым «инициализированным» (баланс токена соответствует его весу) активом, подходящим для оценки приблизительной стоимости всего пула.
Хакер добавил в пул нативный токен протокола SushiSwap (SUSHI) — в ходе переиндексации механизм Indexed Finance позволил установить минимальный баланс для актива в размере 11 926 SUSHI (~$126 000 на момент атаки).
Далее злоумышленник воспользовался функцией мгновенных займов на SushiSwap и Uniswap V2. Он получил токены UNI, AAVE, COMP, CRV, MKR и SNX совокупной стоимостью $156 млн и внес их в пул DEFI5. Все эти активы являются инициализированными.
После того, как хакер приобрел практически все токены UNI, он обновил контракт контроля индексов, который отслеживает стоимость токенов в пуле и устанавливает «цели портфеля». Поскольку баланс UNI был очень низким, протокол посчитал, что приблизительная стоимость пула равна 29 851 SUSHI (~$300 000), хотя он получил активы на сумму более $100 млн.
Приобретенные хакером UNI были использованы для эмиссии токенов DEFI5. Заимствованные SUSHI злоумышленник также направил на эти цели (выпуск проходил по завышенной оценке). Манипуляции он повторил несколько раз.
В Indexed Finance назвали инцидент «разрушительным» для проекта и отметили, что знают, как закрыть уязвимость. Команде также предложили помощь «уважаемые Ethereum-разработчики».
Администрация проекта обсудит с сообществом процесс компенсации средств потерпевшим. Она запросит консультации у протоколов, побывавших в схожих ситуациях.
Напомним, в сентябре неизвестный взломал лендинговую платформу Vee.Finance и вывел токенизированные биткоины и Ethereum на общую сумму около $35 млн.