Хакер вернул платформе Tender.fi активы на $1,59 млн за вознаграждение

Взломавший DeFi-протокол Tender.fi на базе Arbitrum хакер вернул выведенные активы в обмен на вознаграждение в 62,16 ETH (~$96 534).

Translation: The White Hat will repay all loans minus 62.158670296 ETH, which will be kept as a Bounty for helping secure the protocol. The https://t.co/H4ZMPLH9pz Team will repay the Bounty s value to the protocol, so that there will be no bad debt and users will remain… https://t.co/5bbmKu7zEe

— Tender.fi (@tender_fi) March 7, 2023

Эксплойт произошел 7 марта. Неизвестный использовал ошибку в конфигурации ценового оракула. В результате он заимствовал на платформе $1,59 млн в криптовалюте под залог одного токена GMX стоимостью около $71.

Хакер сам вышел на контакт с командой, отправив сообщение в транзакции:

«Похоже, ваш оракул был неправильно настроен. Свяжитесь со мной, чтобы разобраться».

Данные: Arbiscan.

Разработчики протокола подтвердили инцидент, отметив «необычное количество» заимствований на платформе.

We are investigating an unusual amount of borrows that came through the protocol- in the meantime, we have paused all borrowing. Thank you for your patience.

— Tender.fi (@tender_fi) March 7, 2023

Через несколько часов они сообщили, что пришли к соглашению со взломщиком. Последний вернул средства за минусом оговоренной награды в 62,16 ETH за «укрепление безопасности протокола».

«Исполнитель завершил погашение кредита. Фонды официально в безопасности, раскрытие информации об инциденте на подходе», — уточнила команда платформы.

The actor has completed the loan repayments. Funds are officially SaFu, post mortem on the way.

— Tender.fi (@tender_fi) March 7, 2023

Выплаченное «белой шляпе» вознаграждение проект компенсирует из собственных средств.

Напомним, в феврале DeFi-протоколы в результате семи взломов понесли ущерб в размере примерно $21,4 млн.

Крупнейшим по сумме убытка оказался эксплойт Platypus Finance на $8,5 млн.