Według dzisiejszego komunikatu Build Finance DAO doświadczyło „wrogiego przejęcia zarządzania” w ciągu ostatnich kilku dni i straciło około 470 000 USD w funduszach.
W ciągu ostatnich kilku dni nieznana osoba zdołała wykorzystać dużą ilość tokenów do głosowania nad propozycją, która dała jej pełną kontrolę nad skarbcem DAO i jego zdolnością do wybijania tokenów.
„W obecnej sytuacji atakujący ma pełną kontrolę nad umową o zarządzanie, biciem kluczy i skarbcem. DAO nie ma już kontroli nad żadną częścią kluczowej infrastruktury” – powiedział Urbane Grandier, członek głównego zespołu Build Finance, na swoim serwerze Discord.
„Z głębokim żalem musimy poinformować społeczność o tej całkowitej i nieodwracalnej utracie aktywów skarbowych BUILD DAO w wyniku czynów jednego złośliwego aktora” – dodali.
Co to było Build Finance?
Build Finance był samozwańczym „zdecentralizowanym konstruktorem przedsięwzięć”, którego celem było zachęcanie do nowych projektów poprzez nagradzanie ich tokenami. Pomysł polegał na finansowaniu projektów za pomocą natywnych tokenów BUILD, a projekty miały w zamian przyjąć tokeny BUILD, aby zwiększyć na nie popyt. Projekt rozpoczął się od 100 000 tokenów, a społeczność była w stanie wybić więcej tokenów, aby sfinansować nowe projekty.
Projekt był utrzymywany przez DAO, zdecentralizowany system, w którym posiadacze tokenów głosują nad biciem i przydzielaniem tokenów. Według jednego z tweetów , mogli również głosować w sprawie kontroli samej umowy tokena.
W ciągu ostatnich kilku miesięcy projekt dostarczył kilka aktualizacji. Wyglądało na to, że pracuje nad przeprojektowaniem strony internetowej i zmianą na nową nazwę domeny. Ale członkowie Discorda wydawali się niezadowoleni.
„Witam zespół, aktualizacja byłaby mile widziana. Brak komunikacji dotyczy z perspektywy społeczności. Jestem pewien, że ciężko pracujesz za kulisami, ale myślę, że regularne aktualizacje zostałyby dobrze przyjęte i docenione przez społeczność” – napisał jeden z takich członków.
Mimo to projekt kontrolował dość dużą ilość środków. Według stanu na sierpień 2021 r. jego skarbiec składał się z sześciu tokenów, w tym DAI, BUILD i METRIC. Jego wartość w tym czasie wynosiła 522 000 USD.
Wrogie przejęcie
9 lutego moderator Build Finance 0xSHA2 napisał wiadomość na serwerze Discord, w której powiedział, że ktoś złożył propozycję, która, jeśli zostanie przyjęta, pozwoli mu jednostronnie wybić tokeny. Moderator zachęcał posiadaczy tokenów do głosowania przeciwko propozycji.
Zgodnie z wątkiem tweeta , tę propozycję złożył portfel o nazwie Suho.eth. Ta propozycja nie powiodła się.
Wygląda jednak na to, że sprawca wysłał swoje żetony zarządzania do osobnego portfela i spróbował ponownie. Ta propozycja nie została jednak odebrana przez bota serwera Discord (który wykrywałby propozycje i umieszczał je w dedykowanym kanale). Ta propozycja wydawała się niezauważona i przeszła 10 lutego.
Według wątku sprawca wykorzystał swoją nowo odkrytą kontrolę nad DAO i jego zdolnościami do wydobywania tokenów, aby stworzyć dla siebie 1,1 miliona tokenów BUILD. Wykorzystali je do osuszenia puli płynności na dwóch zdecentralizowanych giełdach, Balancer i Uniswap. Następnie wzięli ze skarbca projektu kolejne 130 000 tokenów METRIC, sprzedali je i wybili kolejny miliard tokenów BUILD.
Krótko mówiąc, splądrowali wszystko, co mogli.
Od tego czasu sprawca wysłał znaczną ilość środków do Tornado Cash, usługi miksującej na blockchainie Ethereum. Przeniesione środki sumują się do około 160 ETH, co sugeruje, że uszliwili około 470 000 USD.
Dogrywka
Po przejęciu i wyprzedaży główny zespół Build Finance szuka sposobu na przetrwanie.
„Z zadowoleniem przyjęlibyśmy dyskusję w niezgodzie z członkami społeczności na temat tego, jak przejść dalej, ale trudno jest zobaczyć przyszłość dla BUILD tylko z rozpoznawalnością marki i aktywami IP, bez płynnego skarbca”, powiedział Grandier.
Jeśli chodzi o próbę odzyskania funduszy, Grandier powiedział, że zespół był w kontakcie ze sprawcą, ale nie było ochoty na dialog, a jeszcze mniej na pomysł dokonania zadośćuczynienia.
Źródło: coinmarketcal.com