Ett avkastningsautomatiserat protokoll på Arbitrum utnyttjades under helgen i en incident som ökat hackarens saldo av deras stablecoin Sperax (USDS) i amerikanska dollar.
Men i en vändning sa teamet på tisdag att alla medel hade återlämnats - vilket pekade på en $300,000 XNUMX USDC transaktion — och att Sperax snart skulle tillhandahålla en tidslinje för att återuppta SperaxUSD-överföringar.
Den "hybrid" stablecoin, som först underrättade sina användare om attacken på söndagen, publicerade en rapport sent på måndagen som beskriver vad som gick ner.
Även om SperaxUSD i sin rapport kallar personen en "angripare", har teamet sagt separat i en tweet att personen som är kopplad till adressen är "inte en hackare, och att den lovade att inte vidta några åtgärder om medlen skulle återlämnas.
Teamet sa att exploatören utnyttjade en intern bugg i USDS-tokenkontraktet för att ändra saldot till 9.7 miljarder på en multi-sig-plånbok.
Innan laget kunde blockera kontraktet lyckades angriparen byta ut cirka 309,000 XNUMX USD till USDT, USDC och WETH.
SperaxUSD sa att den den 13 december hade man uppgraderat tokenkontraktet för att åtgärda ett problem i beräkningen av saldon, vilket orsakade inkompatibilitet med DEX.
Exploateringen började med att angriparen skickade pengar till en Gnosis Safe-adress, en smart kontraktsplånbok med flera signaturer, vilket utlöste en bugg i USDs token-kontrakt. Det var så saldot hoppade till 9.7 miljarder tokens.
Angriparen började sedan sälja USD på Arbitrum, troligen 10,000 XNUMX åt gången. Cirka tre timmar efter attacken kunde SperaxUSD-teamet pausa handlingen.
Innehavare av USD-token har två typer av token: rebasing (där utbudet justeras för att kontrollera priset) och icke-rebasing. Detta innebär att en rebase-innehavares USD-saldo ökar automatiskt vid en rebase, som utlöses varje vecka.
"Även om alla kontrakt som vi utvecklar går igenom flera omgångar av granskningar och grundliga tester, missade vi fortfarande detta kantfall. Vi känner att angriparen bara experimenterade med kontraktet eftersom den uppgraderade koden inte publiceras, men han/hon upptäckte en ny bugg, det kunde ha varit en ännu värre situation (om det var planerat), säger teamet.
Få dagens bästa kryptonyheter och insikter levererade till din e-post varje kväll. Prenumerera på Blockworks kostnadsfria nyhetsbrev nu.
Vill du ha alfa skickat direkt till din inkorg? Få degen handelsidéer, styrelseuppdateringar, tokenprestanda, tvåts som du inte får missa och mer från Blockworks Researchs Daily Debrief.
Kan du inte vänta? Få våra nyheter snabbast möjligt. Gå med oss på Telegram och följ oss på Google Nyheter.
Källa: https://blockworks.co/news/arbitrum-stablecoin-exploit-happy-ending