Новости Хакер вывел из протокола Sentiment не менее $500 000

DeFi-протокол ликвидности Sentiment подвергся атаке. Неизвестный украл свыше $500 000 в цифровых активах.

1/2
The Sentiment team is currently investigating the indictable extraction of funds from the Sentiment protocol.

We have taken steps to identify the exploit's root cause and mitigate further protocol misuse.

— Sentiment (@sentimentxyz) April 4, 2023​

Команда проекта подтвердила инцидент, но не озвучила сумму ущерба. Разработчики начали расследование, обратились за содействием к правоохранительным органам и аналитическим фирмам.

«Коллектив Sentiment в настоящее время расследует вывод средств из протокола. Мы предприняли шаги, чтобы определить основную причину эксплойта и предупредить дальнейшие злонамеренные действия», — заявили в Sentiment.


1/2
The Sentiment team is currently investigating the indictable extraction of funds from the Sentiment protocol.

We have taken steps to identify the exploit's root cause and mitigate further protocol misuse.

— Sentiment (@sentimentxyz) April 4, 2023​

Согласно ончейн-исследователям, злоумышленник использовал ошибку повторного входа на платформе Balancer для исполнения вредоносного кода. Он взял флеш-кредит на Sentiment, манипулируя данными завысил цену залога и вывел через мост Synapse Bridge 536 738,4 USDC в сети Arbitrum.

Quick analysis we made with @lekhovitsky about @sentimentxyz incident: https://t.co/CHfr0lB19O

TL;DR:
Attacker used view re-entrance Balancer bug to execute malicious code before pool balances were updated and steal money using overpriced collateral

— 0xmikko.eth (@0xmikko_eth) April 4, 2023​

Некоторые эксперты отметили, что это повторяющаяся атака.

Специалисты компании Beosin определили, что потери протокола в результате атаки составили около $1 млн. Они подтвердили, что злоумышленник использовал баг повторного входа.

Sentiment protocol was under an attack with a loss of ~$1 million caused by a price error due to reentrancy.https://t.co/1cFOxqpbZV https://t.co/5biOuaIKCo pic.twitter.com/2Luk7YcuLA

— Beosin Alert (@BeosinAlert) April 5, 2023​

По данным DeFi Llama, на фоне взлома стоимость заблокированных в Sentiment активов обвалилась практически вдвое — с $10,78 млн до $5,27 млн.



Данные: DeFi Llama.

“Сегодняшняя атака Sentiment, которая обошлась в $1 млн, включала целый фестиваль классических проблем с безопасностью, включая ненадлежащее поведение повторного входа на Balancer. Но основная проблема заключалась в том, что Sentiment суммировал активы в AMM, подсчитывая их долларовую стоимость”, — заключил блокчейн-специалист Даниэль Фон Фанг.


Today's $1 million dollar Sentiment attack involved a whole festival of classic security problems, including bad reentrancy behavior on Balancer's part.

But the core problem was that Sentiment totaled up the assets on an AMM to get a dollar value for them. https://t.co/Q1GmqN0Dv2

— Daniel Von Fange (@danielvf) April 4, 2023​

Напомним, в апреле кроссчейн-мост Allbridge потерял цифровые активы стоимостью около $570 000 в результате хакерской атаки.

В комментарии для ForkLog сооснователь проекта Андрей Великий рассказал о реальной сумме ущерба и векторе атаки на протокол, возможности возврата средств и плане компенсации пострадавшим пользователям.

Новость Хакер вывел из протокола Sentiment не менее $500 000 на сайте CoinProject.info.