Хакер вернул платформе Tender.fi активы на $1,59 млн за вознаграждение

Взломавший DeFi-протокол Tender.fi на базе Arbitrum хакер вернул выведенные активы в обмен на вознаграждение в 62,16 ETH (~$96 534). Translation: The White Hat will repay all loans minus 62.158670296 ETH, which will be kept as a Bounty for helping secure the protocol. The https://t.co/H4ZMPLH9pz Team will repay the Bounty s value to the protocol, so that there will be no bad debt and users will remain… https://t.co/5bbmKu7zEe— Tender.fi (@tender_fi) March 7, 2023 Эксплойт произошел 7 марта. Неизвестный использовал ошибку в конфигурации ценового оракула. В результате он заимствовал на платформе $1,59 млн в криптовалюте под залог одного токена GMX стоимостью около $71. Хакер сам вышел на контакт с командой, отправив сообщение в транзакции: "Похоже, ваш оракул был неправильно настроен. Свяжитесь со мной, чтобы разобраться". Данные: Arbiscan. Разработчики протокола подтвердили инцидент, отметив "необычное количество" заимствований на платформе. We are investigating an unusual amount of borrows that came through the protocol- in the meantime, we have paused all borrowing. Thank you for your patience.— Tender.fi (@tender_fi) March 7, 2023 Через несколько часов они сообщили, что пришли к соглашению со взломщиком. Последний вернул средства за минусом оговоренной награды в 62,16 ETH за "укрепление безопасности протокола". "Исполнитель завершил погашение кредита. Фонды официально в безопасности, раскрытие информации об инциденте на подходе", — уточнила команда платформы. The actor has completed the loan repayments. Funds are officially SaFu, post mortem on the way.— Tender.fi (@tender_fi) March 7, 2023 Выплаченное "белой шляпе" вознаграждение проект компенсирует из собственных средств. Напомним, в феврале DeFi-протоколы в результате семи взломов понесли ущерб в размере примерно $21,4 млн. Крупнейшим по сумме убытка оказался эксплойт Platypus Finance на $8,5 млн.