29/08/25
Причиной инцидента стала уязвимость в системе начисления бонусов за предоставление ликвидности — смарт-контракт позволял создавать фиктивные пары с токеном FAVOR и получать вознаграждение, даже если вторая часть пары представляла собой ничем не обеспеченный актив, пишет Securitylab.
BetterBank изначально поощрял пользователей за создание пулов ликвидности с токеном FAVOR, начисляя за это токены ESTEEM. Однако в ходе расследования выяснилось, что контракт не проверял ценность или подлинность второй части пары. Более того, атакующий сумел избежать налогообложения за массовый выпуск наград, использовав внешние пары. В результате эксплойта было отчеканено значительное количество токенов, что спровоцировало быстрое истощение резервов.
Инцидент был замечен в течение последних суток: команда проекта обратила внимание на аномальные выводы и быстро приостановила работу протокола, чтобы минимизировать ущерб. По заявлению BetterBank, часть потерь была компенсирована из резервных фондов. Разработчики также пообещали перезапустить наградной смарт-контракт с новой логикой и провести эйрдроп для прежних участников, пострадавших от атаки.
BetterBank в момент атаки входил в пятёрку крупнейших DeFi-протоколов на PulseChain и недавно заявлял о достижении $30 млн в TVL (общем объёме заблокированной ликвидности). После взлома объём сократился до $9,96 млн, в то время как $10,31 млн остаются в обращении в виде заёмной ликвидности. Ущерб коснулся не только BetterBank — токен PulseX, участвовавший в связке ликвидности, потерял более 15% стоимости.
PulseChain в целом продолжает расти и недавно восстановил совокупную ликвидность свыше $300 млн, однако инцидент с BetterBank вновь привлёк внимание к проблемам безопасности на нишевых блокчейнах. По оценке исследователей, эксплойт был возможен из-за слабой верификации источников ликвидности и оставленных в контракте «низковисящих плодов» — сценариев, которые позволяют злоумышленникам создавать фейковую активность для получения реальных токенов.
Хакеру удалось вывести не только токены внутри сети PulseChain: он также перевёл 215 ETH в основной сети Ethereum, повысив шансы на успешное отмывание средств. На момент публикации у злоумышленника оставалось около 700 млн. pDAI, которые требуют бриджинга для обмена. Команда проекта направила сообщение на адрес атакующего но ответа не получила.
Вскоре после атаки злоумышленник конвертировал часть похищенных активов в 309 ETH — ориентировочно на сумму $1,4 млн. При этом он добровольно вернул 550 миллионов pDAI из 700 миллионов, то есть примерно $2,7 млн. Т
Несмотря на то что ущерб, нанесённый проекту, оценивается в несколько миллионов долларов, реальные потери могут быть значительно выше из-за подорванного доверия, падения цены токенов и репутационного удара по всей экосистеме PulseChain.
