Масштабная атака с использованием уязвимости выпуска токенов полностью уничтожила стоимость TSR-токена TesseraDAO, оставив пулы ликвидности осушенными, а инвесторов с бесполезными активами. Данные в блокчейне, выявленные компанией безопасности PeckShield, показывают, что злоумышленник успешно выпустил 99 млн токенов TSR в BNB Chain перед их сбросом на рынок.
Внезапный приток предложения спровоцировал мгновенное падение цены на 99%.
По данным аналитиков безопасности, атака была выполнена с хирургической точностью. Аналитик блокчейна Spreek первым обнаружил аномальную деятельность по выпуску токенов, которая произошла примерно за 19 часов до публичного предупреждения PeckShield 2 июня. Злоумышленник быстро обменял вновь выпущенные токены TSR примерно на 2.5 млн USDT, эффективно осушив доступную ликвидность стейблкоина в основных пулах проекта.
Но атака не закончилась в BNB Chain.
Чтобы скрыть следы, злоумышленник перевел украденный USDT на mainnet Ethereum. После прибытия на Ethereum средства были конвертированы в эфир, при этом 1,285.5 ETH были пропущены через санкционированный протокол приватности Tornado Cash. Этот многоцепочечный канал отмывания средств – от выпуска на BNB Chain к кроссчейн-бриджингу и завершению в миксерах приватности – демонстрирует стойкие уязвимости в кроссчейн-экосистемах DeFi.
Инцидент поднимает серьезные вопросы о безопасности смарт-контрактов TesseraDAO. Ни разработчики проекта, ни исследователи безопасности не раскрыли точную уязвимость, которая позволила несанкционированный выпуск токенов. Также остается неясным, есть ли у проекта оставшиеся активы казны или находятся ли под угрозой дополнительные смарт-контракты.
Для трейдеров DeFi это событие служит суровым напоминанием о рисках, присущих токенам управления с низкой ликвидностью. Когда смарт-контракт позволяет произвольный выпуск токенов, отрицательный исход абсолютен и мгновенен.
Участники рынка должны следить за официальными каналами коммуникации TesseraDAO в ожидании официального анализа происшедшего и избегать попыток покупки сильно дешевевшего токена TSR. При полном истощении ликвидности и компрометации контракта восстановление крайне маловероятно, и токен теперь представляет собой мертвый актив.
Взлом TesseraDAO: 99% крах TSR после атаки с выпуском $2.5M
Аналитики PeckShield выявили атаку, при которой злоумышленник выпустил 99 млн токенов TSR и продал их, вызвав падение цены на 99%. Злоумышленник обменял токены на 2.5 млн USDT и отмыл средства через Ethereum и Tornado Cash.