Team Finance explotado por $ 14,5 millones durante la migración del protocolo a pesar de la auditoría del contrato

El 27 de octubre, el protocolo de bloqueo de finanzas descentralizadas (DeFi) Team Finance dijo que más de $14.5 millones en tokens fueron explotados a través de la función de migración Uniswap v2 a v3 en su plataforma. Como dicho por la firma de seguridad blockchain PeckShield, el pirata informático transfirió liquidez de los activos Uniswap v2 en Team Finance a un par v3 controlado por el atacante con precios sesgados. Al bloquear los tokens en el contrato, el atacante eludió los mecanismos de validación existentes y se embolsó los enormes sobrantes como reembolso de las ganancias.

Uniswap v3 fue diseñado con una mejor eficiencia para los proveedores de liquidez (LP) que v2 en su intercambio descentralizado. Sin embargo, los contratos inteligentes v2 todavía están operativos y los usuarios deben interactuar con un contrato inteligente de migración para migrar sus activos LP de v2 a v3. PeckShield estimó que el vector de ataque inicial requerido para esta interacción costaba solo 1,76 Ether (ETH).

Los activos agotados incluyen tokens USD Coin (USDC), CAW, TSUKA y KNDA, ya que los fondos de liquidez se “trasladaron” a Uniswap v3. En el intercambio descentralizado, algunos de los tokens afectados, como CAW, sufrido fuertes caídas de precios debido a la explotación y la subsiguiente crisis de liquidez.

Team Finance dijo que el contrato inteligente había sido auditado previamente e instó al pirata informático a “ponerse en contacto con nosotros para el pago de una recompensa”. Como resultado, los desarrolladores han pausado temporalmente toda actividad en el protocolo y afirman que todos los fondos en la plataforma no corren el riesgo de sufrir una nueva explotación. Fundada en 2020, Team Finance y su empresa matriz, TrustSwap, brindan servicios de adquisición y bloqueo de liquidez de tokens para ejecutivos de proyectos. El protocolo afirma tener $ 3 mil millones asegurados en 12 cadenas de bloques.