分散型金融(DeFi)アプリのSteadefiが8月7日、現在進行中の攻撃で少なくとも33万4000ドルが不正流出した。アプリの開発チームはソーシャルメディアへの投稿で、この攻撃は現在 「すべての資金が危険にさらされている」と述べた。DefiLlamaのデータによると、この攻撃の結果、ロックされたアプリのトータル・バリュー・ロックド(TVL)は急落している。
Steadefiチームは、Xに「Steadefiは攻撃を受け、現在すべての資金が危険にさらされている」と伝えた。また、攻撃者との交渉を試みるため、ETH上のアドレス0x9cf71F2ff126B9743319B60d2D873F0E508810dcにオンチェーンメッセージを送信したことも確認した。ブロックチェーンのデータによると、このアドレスにはアバランチチェーンでの大量の入金が、UTC午後4:41から始まっている。
このアドレスに転送されたトークンには、130429USDC、3.39BTC、15WETH、6184AVAXが含まれる。WETHを除いて、他のすべてのトークンはすぐにWETHと交換された。攻撃者は、Synapseブリッジを通じて別のネットワークに184WETHをブリッジした。
このアドレスは、アービトラムネットワークでも同様の取引を行っているようだ。
イーサリアムのブロックチェーン・データによると、開発チームは攻撃者にメッセージを送り、盗まれたとされる資金の10%をハッカーに保管させることを申し出たという。
Steadefiチームは攻撃を確認した後、攻撃がどのように発生したかを説明するフォローアップメッセージをXに投稿した。攻撃者はチームのデプロイウォレットの秘密鍵を盗み、オーナー専用機能を実行するためのアクセスを許可したと報告されている。攻撃者はその後、"どのウォレットでもレンディングヴォールトから利用可能な資金を借りられるようにするなど、様々な所有者限定のアクションを行った"。
貸出可能な資金はすべて攻撃者によって流出した。しかし、ヴォールトに保管され、貸し出されていない担保は、アプリに預金を削除するownerOnly機能が含まれていないため、流出しなかった。その結果、「戦略」ヴォールトに入金したユーザーは、少なくとも資金の一部を引き出すことができる可能性がある。
一方、攻撃者はownerOnly関数を使ってファーミングコントラクトを一時停止した。そのため、svTokensやibTokensをファームに預けたユーザーは引き出すことができず、資金は実質的にアプリのコントラクト内で滞留している。投稿によると、これらのトークンのほとんどの保有者はファームに入金しており、引き出すことができない。
DeFiでは、不正流出が続いている。8月8日、エストニアを拠点とする仮想通貨決済会社CoinsPaidは、攻撃者が偽の採用面接を通じて3700万ドルを盗んだと発表した。8月4日には、Curveプロトコルが悪用され6,100万ドルが盗まれたが、攻撃者は後に資金の一部を返却し始めた。