Curio потерял $16 млн из‑за эксплоита смарт‑контракта
27.03.2024

Curio потерял $16 млн из‑за эксплоита смарт‑контракта

Компания Curio, занимающаяся ликвидностью реальных активов (RWA), подверглась эксплоиту смарт-контракта. Злоумышленник использовал критическую уязвимость, связанную с правом голоса, что позволило ему украсть цифровые активы на сумму 16 миллионов долларов.

Curio предупредил свое сообщество об уязвимости и подчеркнул, что решает ситуацию. Компания заявила, что смарт-контракт на основе MakerDAO, используемый в Curio, был взломан.

Однако компания заверила своих пользователей, что эксплоит затронул только сторону Ethereum и что все контракты Polkadot и Curio Chain остаются в безопасности.

Компания безопасности Web3 Cyvers подсчитала, что убытки от эксплоита составляют около 16 миллионов долларов. В сообщении Cyvers Alerts говорится, что эксплоит связан с «уязвимостью логики доступа к разрешениям».

Curio потерял $16 млн из‑за эксплоита смарт‑контракта

Источник: Cyvers Alerts.

25 марта Curio опубликовал вскрытие эксплоита и план компенсации пострадавшим пользователям. В отчете Curio подчеркнул, что проблема заключалась в недостатке контроля доступа к праву голоса.

При этом злоумышленник приобрел небольшое количество токенов Curio Governance (CGT), что позволило ему получить доступ и повысить свое право голоса в смарт-контракте проекта.

Обладая повышенным правом голоса, злоумышленник выполнил ряд шагов, которые в конечном итоге позволили ему выполнить произвольные действия в рамках контракта Curio DAO. Это привело к несанкционированному минтингу 1 миллиарда CGT.

В отчете Curio говорится, что все средства, пострадавшие от эксплоита, будут возвращены. Команда заявила, что выпустит новый токен под названием CGT 2.0. С помощью нового токена команда пообещала восстановить 100% средств держателей CGT.

Что касается поставщиков ликвидности, Curio заявила, что проведет программу компенсации. Команда заявила, что выплаты будут осуществляться в четыре этапа, каждый из которых продлится 90 дней. Это может означать, что полная программа выплат может растянуться на год.

«Компенсационная программа будет состоять из 4 последовательных этапов, каждый продолжительностью 90 дней. На каждом этапе: компенсация будет выплачиваться в USDC/USDT в размере 25% от убытков, понесенных вторым токеном в пулах ликвидности», – говорится в сообщении Curio.

Компания также заявила, что вознаградит хакеров, которые помогут в восстановлении потерянных средств, предложив 10% средств, восстановленных на начальном этапе.

Источник

Комментарии:
комментариев нет
Добавить комментарий
Имя:
E-mail:
Комментарий: