Хакер вернул платформе Tender.fi активы на $1,59 млн за вознаграждение

Взломавший DeFi-протокол Tender.fi на базе Arbitrum хакер вернул выведенные активы в обмен на вознаграждение в 62,16 ETH (~$96 534).

Translation: The White Hat will repay all loans minus 62.158670296 ETH, which will be kept as a Bounty for helping secure the protocol. The https://t.co/H4ZMPLH9pz Team will repay the Bounty s value to the protocol, so that there will be no bad debt and users will remain… https://t.co/5bbmKu7zEe

— Tender.fi (@tender_fi) March 7, 2023

Эксплойт произошел 7 марта. Неизвестный использовал ошибку в конфигурации ценового оракула. В результате он заимствовал на платформе $1,59 млн в криптовалюте под залог одного токена GMX стоимостью около $71.

Хакер сам вышел на контакт с командой, отправив сообщение в транзакции:

«Похоже, ваш оракул был неправильно настроен. Свяжитесь со мной, чтобы разобраться».

Разработчики протокола подтвердили инцидент, отметив «необычное количество» заимствований на платформе.

We are investigating an unusual amount of borrows that came through the protocol- in the meantime, we have paused all borrowing. Thank you for your patience.

— Tender.fi (@tender_fi) March 7, 2023

Через несколько часов они сообщили, что пришли к соглашению со взломщиком. Последний вернул средства за минусом оговоренной награды в 62,16 ETH за «укрепление безопасности протокола».

«Исполнитель завершил погашение кредита. Фонды официально в безопасности, раскрытие информации об инциденте на подходе», — уточнила команда платформы.

The actor has completed the loan repayments. Funds are officially SaFu, post mortem on the way.

— Tender.fi (@tender_fi) March 7, 2023

Выплаченное «белой шляпе» вознаграждение проект компенсирует из собственных средств.

Напомним, в феврале DeFi-протоколы в результате семи взломов понесли ущерб в размере примерно $21,4 млн.

Крупнейшим по сумме убытка оказался эксплойт Platypus Finance на $8,5 млн.