Эксперты PeckShield выяснили, что скомпрометированный контракт позволил неизвестному получить контроль над адресом пострадавшего и вывести средства. Уязвимость касалась функции collectInterestRepayment() смарт-контракта, позволяя переводить стейблкоины USDC с любого адреса, получившего одобрение.
После взлома смарт-контракта в Эфириуме злоумышленник отправил активы deltatiger.eth в криптомиксер Tornado Cash, чтобы замести следы.
Представители PeckShield призвали клиентов Goldfinch Finance немедленно отозвать все разрешения по контрактам, чтобы хакер не смог украсть еще больше криптовалюты.
DeFi-протокол Goldfinch Finance поддерживают крупные участники криптоиндустрии, в том числе a16z Crypto и Coinbase Ventures. Протокол был запущен на Эфириуме в феврале 2021 года. В марте того же года разработчики запустили версию 1.1, а через несколько месяцев Goldfinch привлекла $11 млн от Andreessen Horowitz. В октябре 2021 года платформа заключила соглашение с Nexus Mutual, позволив поставщикам ликвидности получать страховку смарт-контрактов.
Недавно хакерской атаке подвергся DeFi-протокол Yearn Finance, откуда злоумышленник вывел $9 млн. Неизвестный воспользовался уязвимостью смарт-контракта yETH, осуществив неограниченную эмиссию токенов без предоставления обеспечения. Украденные активы хакер тоже перевел в Tornado Cash.
