Платформа ликвидного стейкинга Prisma Finance признала потерю 3257 ETH (~$11 млн) в результате эксплойта 28 марта. Хакер вступил в переписку с командой по поводу возврата средств.
In collaboration with @PrismaRisk and @wavey0x, we are publishing a comprehensive post-mortem report on yesterday's event. https://t.co/DljZSs3ssKWe are fully mobilized to retrieve users' funds and we will keep you updated on next steps. The most important action users can… pic.twitter.com/MUr1yqqBKX— Prisma Finance (@PrismaFi) March 29, 2024
Согласно результатам расследования, взломщик эксплуатировал два смарт-контракта, предназначенных для переноса позиций пользователей от одного менеджера продукта Trove к другому.
«Инцидент стал возможен из-за недостаточной проверки входных данных в функции onFlashloan, что позволило манипулировать сведениями и реализовать непредусмотренное поведение контракта», — пояснили разработчики.
Помимо основной суммы в 3257 ETH два других пользователя вывели таким образом еще ~121 wstETH и ~ 52 wstETH соответственно, следует из пояснения.
В целях безопасности команда напомнила клиентам о необходимости отозвать одобрение на делегирование активов.
«Помимо возврата украденных средств, главным приоритетом Prisma является возобновление работы протокола и его возрождение. Важнейшим шагом, необходимым для завершения паузы, является обеспечение безопасности всех кошельков и позиций пользователей», — написал ключевой разработчик под ником Frank.
На 31 марта под угрозой потери средств оставалось 14 аккаунтов с открытым одобрением, пять кошельков при этом «рисковали» активами на сумму примерно $500 000.
Frank внес на рассмотрение сообщества Prisma предложение о временном сокращении распределения комиссий долей в 50% вместо 100%. Целью является аккумуляция средств на восстановление работы платформы. Он признал, что сроки выхода из этой ситуации остаются неопределенными.
Взломщик назвал себя «белым», но выдвинул ряд условий
Тем временем взломщик Prisma сразу после инцидента вступил в переписку с командой, предложив возврат выведенных активов.
Однако предварительно он попросил ответить на ряд вопросов касательно понимания разработчиками концепции смарт-контрактов, необходимости аудита и их обязанностей в случае инцидентов, подобных случившемуся.
В Prisma признали, что часть кода последнего обновления не проходила проверку сторонних экспертов и попросили хакера вернуть средства без условий. Последний в ответ обвинил команду в неискренности и предположил, что уязвимость была заложена преднамеренно.
«Дорогие друзья из Prisma, вы так и не проявили доброй воли! Я очень разочарован всем, что вы сделали. Это был просто обязательный ход! Еще раз — вы так и не раскрыли три фактора, о которых я спросил. Не пытайтесь убежать от своих ошибок и избавиться от обязанностей. Если бы это был не я, подобное могли бы сделать другие, “черные шляпы” или кто-то еще», — написал он.
Один из пользователей, обратив внимание на переписку хакера с командой Prisma, задался вопросом: почему сообщество не обсуждает поднятые проблемы?
Interesting development in the Prisma events:A/ The code concerned was not auditedB/ The hacker has demands, part of which were metC/ The hacker has a mission/motivationA/ Why audit a migration function?1. The exploit was on a migration function that was not part of the… pic.twitter.com/a58Zik44Nz— tokenbrice.eth (🐜,🐔) (@TokenBrice) March 31, 2024
По мнению разработчика под ником Tokenbrice, хакер резонно обратил внимание на некоторые аспекты:
команда Prisma самостоятельно затеяла миграцию позиций пользователей в Trove, не предусмотренную первоначальными планами развертывания протокола;
опытные разработчики не отдали часть кода обновления на аудит, который, как правило, используется для снятия ответственности (по большей части);
они игнорировали требования деанона от хакера, как и другие его вопросы.
«Он, похоже, заинтересован в расширении ответственности DeFi-разработчиков: герой, которого мы не заслужили?», — предположил эксперт.
Напомним, специалисты PeckShield обнаружили, что взломщик Prisma начал отправлять активы в криптомиксер Tornado Cash, несмотря на заявление о возможности возврата.
