- 21,512
- 46
- 8 Ноя 2022
Одна ошибка в коде стоила Typus Finance миллионов долларов.
На платформе Typus Finance произошла крупная атака, в результате которой злоумышленники вывели активы на сумму около 3,44 миллиона долларов. Инцидент затронул пул ликвидности TLP и стал следствием уязвимости в модуле оракула, позволившей злоумышленнику подменить данные о ценах. Компания опубликовала развёрнутый отчёт с поэтапным описанием событий и объявила о полной приостановке работы всех смарт-контрактов до завершения расследования.
Атака началась 15 октября в 13:05 по всемирному времени. В течение 19 минут после первых признаков подозрительной активности команда Typus приостановила работу протокола, выявила источник проблемы и уведомила Sui Foundation. К 14:54 официальное сообщение было направлено в правоохранительные органы. По данным отчёта, с TLP было выведено 588 357,9 SUI, 1 604 034,7 USDC, 0,6 xBTC и 32,227 suiETH. При этом средства пользователей в личных кошельках, а также активы в фонде SAFU и DeFi Options Vaults остались нетронутыми.
Причиной утечки стал пропущенный проверочный оператор в функции update_v2 модуля оракула, размещённого в контрактном пакете от 13 ноября 2024 года. Ошибка позволила любому адресу обновлять ценовые данные, обходя механизм авторизации. Проблему усугубили два организационных фактора — модуль не вошёл в перечень проверяемых компонентов во время аудита MoveBit, проведённого в мае 2025 года, а система мониторинга Sentio не была настроена на немедленное реагирование на такие события.
Разработчики подчеркнули, что убытки ограничены TLP и не затронули другие продукты. Автоматические «кранкеры», управляющие сделками в DeFi Options Vaults, сверяют котировки с независимым оракулом перед выполнением, что позволило заблокировать попытки манипуляции ценами. Кроме того, залоговое обеспечение открытых позиций хранится в отдельных контрактах и не зависит от TLP, поэтому находится в безопасности.
Сразу после атаки Typus Finance заморозила все операции и подключила партнёров по безопасности — Sui Foundation, Mysten Labs, MoveBit, SlowMist и Hypernative — для совместного расследования и отслеживания вывода средств. Команда готовит полностью переработанные и прошедшие аудит смарт-контракты , а также обсуждает внутренний план компенсации для поставщиков ликвидности. Отдельное заявление о механизме возмещения появится позднее.
Представители проекта отметили, что Typus Finance намерена повысить уровень защиты и продолжит информировать сообщество о ходе расследования и восстановительных мероприятий.
На платформе Typus Finance произошла крупная атака, в результате которой злоумышленники вывели активы на сумму около 3,44 миллиона долларов. Инцидент затронул пул ликвидности TLP и стал следствием уязвимости в модуле оракула, позволившей злоумышленнику подменить данные о ценах. Компания опубликовала развёрнутый отчёт с поэтапным описанием событий и объявила о полной приостановке работы всех смарт-контрактов до завершения расследования.
Атака началась 15 октября в 13:05 по всемирному времени. В течение 19 минут после первых признаков подозрительной активности команда Typus приостановила работу протокола, выявила источник проблемы и уведомила Sui Foundation. К 14:54 официальное сообщение было направлено в правоохранительные органы. По данным отчёта, с TLP было выведено 588 357,9 SUI, 1 604 034,7 USDC, 0,6 xBTC и 32,227 suiETH. При этом средства пользователей в личных кошельках, а также активы в фонде SAFU и DeFi Options Vaults остались нетронутыми.
Причиной утечки стал пропущенный проверочный оператор в функции update_v2 модуля оракула, размещённого в контрактном пакете от 13 ноября 2024 года. Ошибка позволила любому адресу обновлять ценовые данные, обходя механизм авторизации. Проблему усугубили два организационных фактора — модуль не вошёл в перечень проверяемых компонентов во время аудита MoveBit, проведённого в мае 2025 года, а система мониторинга Sentio не была настроена на немедленное реагирование на такие события.
Разработчики подчеркнули, что убытки ограничены TLP и не затронули другие продукты. Автоматические «кранкеры», управляющие сделками в DeFi Options Vaults, сверяют котировки с независимым оракулом перед выполнением, что позволило заблокировать попытки манипуляции ценами. Кроме того, залоговое обеспечение открытых позиций хранится в отдельных контрактах и не зависит от TLP, поэтому находится в безопасности.
Сразу после атаки Typus Finance заморозила все операции и подключила партнёров по безопасности — Sui Foundation, Mysten Labs, MoveBit, SlowMist и Hypernative — для совместного расследования и отслеживания вывода средств. Команда готовит полностью переработанные и прошедшие аудит смарт-контракты , а также обсуждает внутренний план компенсации для поставщиков ликвидности. Отдельное заявление о механизме возмещения появится позднее.
Представители проекта отметили, что Typus Finance намерена повысить уровень защиты и продолжит информировать сообщество о ходе расследования и восстановительных мероприятий.
- Источник новости
- www.securitylab.ru
