Майнери обдурили протокол стейблкойн PegNet, перетворивши 11 доларів на майже 7 мільйонів доларів

Майнери-шахраї надали фальшиві дані про ціни, які обманом змусили децентралізовану мережу стейблкойнів PegNet перетворити невеликий баланс гаманця на схованку в 6,7 мільйона доларів.

Приблизно о 05:00 UTC у вівторок вранці чотири майнінгові компанії, які разом становлять до 70 відсотків хешрейту PegNet, надали дані, які штучно завищили ціну «pJPY», стейблкойна, прив’язаного до ціни японської єни, за словами CORE розробника під ім'ям користувача "WhoSoup".

Починаючи спочатку з балансу гаманця в 11 доларів, група підняла ціну pJPY до 6,7 мільйонів доларів, а потім перевела її в pUSD – стейблкойн PegNet, прив’язаний до долара. Потім вони спробували (безуспішно) ліквідувати якомога більше на спотових біржах і розподілити залишок по сотням різних адрес гаманців.

PegNet — це децентралізована мережа, побудована на основі протоколу Factom, де користувачі можуть торгувати стейблкойнами, прив’язаними до 42 активів. Окрім фіатних валют, існують також цифрові активи, прив’язані до товарів, таких як золото, та інші криптовалюти, зокрема Bitcoin і ефіру.

Дивіться також: Хакер використовує недолік у децентралізованій біржі Bitcoin Bisq, щоб вкрасти 250 тисяч доларів

Мережа покладається на те, що майнери надсилають дані про ціни, зібрані з ряду оракулів і API, щоб KEEP прив’язку цін на стейблкоїни до їх фіатних еквівалентів. Для кожного блоку потрібно до 50 точок даних, і протокол відкидає 25 повідомлень, які найбільше віддалені від загального середнього. Більшість використовує третє-четверте джерела за замовчуванням, але майнери також можуть надсилати власні довільні значення.

«WhoSoup» повідомив CoinDesk, що зазвичай це T проблема, оскільки система працює, щоб стимулювати майнерів – за допомогою винагороди за блок – подавати дані про ціни відповідно до даних інших повідомлень.

Що стосується Discord, розробник пояснив, що майнери по суті здійснили форму 51-відсоткової атаки, надіславши 35 із 50 найпопулярніших цінових запитів, спотворюючи середнє значення на свою користь, а це означає, що решта 15 цінових запитів були відкинуті як викиди.

За допомогою фальшивого обмінного курсу майнери конвертували завищені pJPY в pUSD, тож загальний баланс гаманця зріс з 11 доларів США за токени pJPY до понад 6,7 мільйонів доларів США, що, за точними ціновими даними, має становити 6,7 мільйонів доларів.

Атака у вівторок тривала близько 20 хвилин і, очевидно, не вплинула на кошти інших користувачів.

Девід Джонстон, який, крім голови Factom Inc., також є ONE з головних фігур у PegNet, сказав CoinDesk , що група не контролює транзакції та конверсію інших користувачів, а може лише підтверджувати дані про ціни. «Схоже, цей зловмисник вразив лише їхній власний гаманець», – сказав він.

Джонстон додав, що зловмисник не зміг перевести значну частину pUSD у рідну Криптовалюта PEG PegNET, оскільки програмне забезпечення протоколу T дозволяє QUICK конвертувати. «Ця людина змогла створити купу pAssets, але не змогла перетворити їх на PEG і викинути на ринок», — сказав він.

Спосіб налаштування PegNet означає, що особи, які контролюють об’єкти майнінгу, не можуть бути відомі. Хоча було чотири майнінгові організації, які працювали в унісон, T , чи всі вони контролювалися однією особою, чи це була робота групи.

Дивіться також: Чому ця глобальна криза є визначальним моментом для стейблкойнів

Але все ще є деякі запитання без відповіді. Відтоді зловмисник звернувся до PegNet і заявив, що вони лише намагалися «перетестувати [тест на проникнення] мережеву та логіку коду», щоб виявити потенційні вразливості та повідомити CORE розробників.

Вони також знищили всі стейблкойни, про які йдеться, і відправили їх у Адреса запису PegNet приблизно о 14:00 UTC у вівторок.

Хто і Джонстон відмовилися розповісти про мотиви нападу. "Я T можу говорити про наміри цієї людини, лише про її дії", - сказав Джонстон. «Їхні дії полягали в тому, щоб створити pAssets, а потім знищити ці pAssets. [Це] здається скоріше трюком, ніж нападом, враховуючи короткий час, який він тривав, і їхні дії з того часу».

Рішення зловмисника спалити активи, здається, відображає дії хакера, який злито dForce на 25 мільйонів доларів у вихідні, а потім повернув викрадені активи після того, як дізнався, що влада Сінгапуру має їхню IP-адресу.

Джонстон сказав, що PegNet тепер перегляне деякі зі своїх механізмів оракулів, щоб переконатися, що вони достатньо надійні, щоб протистояти подібним атакам у майбутньому.

Дивіться також: Factom Inc. «загрожує ліквідація» після того, як інвестори відхилили Request на додаткове фінансування

«Я повністю очікую більш складних атак з часом. Оскільки цінності в мережах DeFi зростають, стає все більше причин атакувати їх», — сказав він. «Ключ у створенні таких систем, як PegNet, де окремі користувачі не залежать від дій інших у системі. Отже, оскільки PegNet не має резерву чи застави, що зберігається в пулі, не було загальних коштів користувачів для вичерпання».

PegNet поки що T впевнений, чи вдалося майнерам вивантажити будь-який із pUSD на біржі Криптовалюта .