Il team Illuvium svuota il pool sILV Uniswap nel tentativo di impedire l'Exploit Cash-Out

Dopo aver scoperto una falla nella sua piattaforma di staking, il colosso multimiliardario del gaming basato su blockchain Illuvium ha prosciugato tutti i fondi da un pool Uniswap nel tentativo di impedire a un aggressore di incassare.

Questa mossa drastica è forse un passo inedito compiuto da un progetto per mitigare i danni causati dall'ultimo di una serie di attacchi, exploit e attacchi informatici che da tempo dilagano nella Finanza decentralizzata (DeFi), e ora sembrano confluire nel movimento “GameFi”.

In un tweet di ieri, il team ha inizialmente affermato che, nonostante avessero scoperto una vulnerabilità, "nessun fondo è stato compromesso" e che i contratti di conio erano stati temporaneamente sospesi.

Tuttavia, un record ditransazioni risalenti a novembre mostrano una serie di indirizzi con contratti personalizzati che depositano sistematicamente una somma di ILV, il token di governance di Illuvium, e poi prelevano una somma maggiore di ricompense ILV in deposito a garanzia, o sILV, rispetto a quanto sarebbe stato normalmente consentito dal programma di staking, prima di trasferire i proventi a un nuovo indirizzo.

A partire dalle 14:00 ET di martedì, il pool sILV/ ETH Uniswap V3 è stato svuotato di tutti i fondi in un seriedi grandi transazioni, spingendo temporaneamente il prezzo di negoziazione di sILV a 0.

In un messaggio sul server Discord ufficiale del progetto, il co-fondatore Aaron Warwick ha scritto: "Per impedire che venisse eseguita una falla di sicurezza, abbiamo dovuto prendere la decisione di salvare il pool sILV".

Continua a leggere: I token SAND e MANA sono aumentati a novembre mentre i trader Cripto scommettono sul potenziale del "Metaverso"

Warwick ha aggiunto su Discord che il team ha "un backstop multisig in grado di coniare in circostanze estreme". Il team ha utilizzato questo portafoglio multi-firma, un indirizzo con autorizzazioni specifiche nel protocollo che necessita della maggioranza di un gruppo di firmatari per eseguire transazioni, per coniare token e venderli per ETH, rendendo sILV inutile, poiché non c'è ETH per cui scambiare sILV.

Al momento non è chiaro quanti sILV l'aggressore sia riuscito a incassare come ETH prima che il team riuscisse a prosciugare completamente il pool.

"Eravamo consapevoli che l'hacker era pronto a vendere tutti i suoi sILV, e la quantità che avevano avrebbe prosciugato completamente il pool", ha detto Warwick in un'intervista con CoinDesk. "Abbiamo cercato di batterli sul tempo, e loro ne hanno presi un po' e noi ne abbiamo presi un po'".

Il team sta già facendo riferimento ai piani di compensazione, scrivendo su Discord: "Non appena potremo ottenere un'istantanea dei veri proprietari di sILV rimborseremo tutti". Warwick ha rifiutato di commentare ulteriormente quei piani.

Warwick ha anche consigliato agli utenti di non acquistare liquidità aggiunta al pool Uniswap . ILV è sceso dello 0,8% nella giornata a $ 1.004,33.

AGGIORNAMENTO (5 gennaio, 15:21 UTC): Corregge la descrizione del vettore di attacco e il riferimento ILV depositato.