7 жовтня SocialFi-додаток Stars Arena, натхненний Friend.Tech, втратив 266 103 AVAX (~$3 млн на момент атаки) через «серйозний пролом у безпеці» смарт-контрактів.
There has been a major security breach with the smart contract.
We're actively checking the issue.
DO NOT deposit any funds.
Stay tuned for updates.
— Stars Arena (@starsarenacom) October 7, 2023
«Ми активно вивчаємо проблему. Не вносьте будь-які кошти [в протокол]», — попередили розробники.
Першими на злам звернули увагу аналітики Redline. За їхніми даними, хакер уже вивів кошти за допомогою обмінника FixFloat.
🚨BREAKING!🚨
$3 000 000 HAS BEEN GONE FROM STARS ARENA SMART CONTRACT
DO NOT INVEST MONEY IN STARSARENA AT THIS MOMENT
Waiting for an explanation from @starsarenacom pic.twitter.com/5UpP2h6X1Q
— redline (@redlinemeta) October 7, 2023
Пізніше представники Stars Arena заявили про відшкодування активів, втрачених під час злому. Тимчасово обмеживши доступ до платформи, команда проєкту запросила експертів із безпеки для проведення додаткових перевірок.
Кошти з вихідного гарячого гаманця також перевели на нову мультисиг-адресу, що перебуває під контролем розробників Stars Arena.
За даними DeFi Llama, загальна вартість заблокованих активів на платформі обвалилася до нуля. Ймовірно, це пов’язано з переміщенням монет на інший гаманець.
TVL Stars Arena. Джерело: DeFi Llama.
Незадовго до атаки в протоколі виявили критичну вразливість, завдяки якій зловмисники могли вивести токени AVAX зі смарт-контрактів Web3-соцмережі.
Через деякий час у Stars Arena повідомили про усунення помилки у функції getPrice(). У той момент високі комісії в Avalance не дали змоги хакерам вивести криптовалюту через невиправдані витрати.
На тлі злому курс AVAX за добу обвалився на 3% — з $10,19 до $9,86, згідно з CoinGecko.
15-хвилинний графік AVAX/USDT біржі Binance. Джерело: TradingView.
Нагадаємо, запущена наприкінці вересня Stars Arena викликала зростання активності в Avalance. Кількість транзакцій в екосистемі підскочила з 790 000 до 1,2 млн менш ніж за тиждень.