O projeto financeiro descentralizado, xToken, sofreu outra exploração no fim de semana depois que os hackers descobriram uma vulnerabilidade nos contratos inteligentes para seu produto xSNX.
A equipe do xToken relatou que o ataque resultou em cerca de US$4,5 milhões em fundos sendo drenados do produto xSNX do xToken – o que permite aos usuários obter exposição a ativos baseados em Synthetix sem interagir diretamente com os complexos contratos inteligentes do protocolo.
Our xSNX contract was exploited. Our other contracts do not have similar vulnerabilities.
Every day going forward from here will be focused on rebuilding trust with our community.
We're assessing the situation and will update with next steps in the coming hours
— xToken (@xtokenmarket) August 29, 2021
O projeto publicou uma autópsia algumas horas depois, explicando que o ator malicioso havia feito um empréstimo instantâneo da exchange descentralizada dYdX (DEX) no valor de 25.000 ETH (cerca de US$81 milhões) para realizar o ataque.
Eles então usaram o Ether como garantia para emprestar 1,5 milhão de tokens de governança Synthetix (SNX) usando o popular protocolo Aave do mercado monetário DeFi e a exchange de tokens de liquidez agrupada, Bancor.
Estes foram trocados por 6,5 milhões de USDC na exchange descentralizada, Kyber, exercendo pressão descendente sobre o preço da SNX. O invasor então trocou o USDC pelo token USD da Synthetix (sUSD), antes de explorar uma falha nos contratos do xToken para comprar 614.000 SNX a um preço artificialmente reduzido por 811.000 sUSD.
A preços atuais, o hacker ganhou US$7 milhões em SNX.
Em resposta ao último ataque, o xToken anunciou que retirará o produto xSNX, afirmando:
“A implementação atual do xSNX é de longe nosso produto mais complicado, com dependências complexas e área de superfície significativa para vulnerabilidades.”
O xToken permite que os usuários mantenham derivados com juros de ativos criptográficos, como AAVE e SNX, que exigem que os detentores participem de staking, governança ou outra interação de protocolo para receber o rendimento.
O incidente não é a primeira vez que o xToken é explorado este ano. Em maio, o protocolo sofreu um destino semelhante quando um agente malicioso manipulou o Kyber DEX ao mesmo tempo que tirou proveito dos cálculos de preços do xToken. A violação custou ao protocolo cerca de US$25 milhões em tokens SNX na época.
Seguindo em frente, a equipe do xToken afirmou que passará a próxima semana trabalhando para calcular as perdas dos investidores e estruturar um programa de compensação com base no uso de seu token nativo, XTK.
Atualmente, o XTK havia despejado 45% nas últimas 24 horas, de acordo com a CoinGecko, e está mais de 90% abaixo de seu recorde histórico de abril, que precedeu o primeiro exploit.
