Paid Network, una piattaforma DeFi rivolta alle imprese del mondo reale, è stato recentemente attaccato ed il prezzo del token PAID è crollato dell’85%.
Sebbene al momento dell’attacco l’exploit abbia fruttato circa 180 milioni di dollari in token PAID, la cifra più grande mai rubata da un protocollo DeFi, l'effettivo guadagno dell'hacker è stato significativamente più basso. Un osservatore ha notato che il wallet dell’hacker ha convertito in WETH solo alcuni dei token coinvolti, lasciando il resto dei token PAID a svalutarsi per via del crollo di prezzo.
"Riassunto dell’incidente di $PAID:
Totale dei PAID convertiti in WETH: 2079,603371141493
= 3.104.887,33$Totale PAID rimasti nel wallet: 594.717.455,71
= 24.313.147$Valore totale nel wallet dell’hacker: 27.418.034,33$"
Summary of $PAID incident:
— vasa (@vasa_develop) March 5, 2021
Total PAID swapped to WETH: 2079.603371141493
= $3,104,887.33
Total PAID left in account: 594,717,455.71
= $24,313,147
Total amount in attacker account = $27,418,034.33
Stay Safe. pic.twitter.com/Lz93qGKAq0
Il portafoglio dell’hacker conta ancora oltre 57 milioni di PAID, per un valore di 20 milioni di dollari.
L’exploit è concettualmente simile ad un attacco al protocollo Cover avvenuto a fine dicembre dello scorso anno. In seguito all'incidente, il team ha emesso un nuovo token e lo ha distribuito fra tutti i possessori di COVER prima dell'attacco, facendo così ritornare il supply ai livelli pre-exploit.
Il team ha confermato su Twitter che sta pianificando il rimborso:
"Stiamo investigando sul problema. Abbiamo ritirato la liquidità e creato nuovi smart contract. I portafogli verranno riportati allo status precedente all’attacco.
Per chi avesse i token in stacking, su Lpool e UniFarm, i loro token saranno inviati manualmente.
Condivideremo altre notizie a breve."
We are investigating the issue. We pulled liquidity, are creating a new smart contract, & will be restoring everyone's original balances to before the hack.
— PAID NETWORK (@paid_network) March 5, 2021
Those with staked, Lpool & UniFarm $PAID will have their tokens be sent to them manually.
We will share more updates soon
Tuttavia, alcuni nella comunità ipotizzano che l’attacco a PAID non sia stato un exploit ma piuttosto un “rugpull’’, ovvero un furto intenzionale di fondi da parte degli autori del progetto.
Nick Chong di Parafi Capital sottolineato su Twitter che il deployer contract di Paid, un account controllato esternamente, ha trasferito la proprietà del deployer all'assalitore poco prima del minting. Ciò indica che un membro del team ha organizzato un rugpull, oppure che l'hacker ha sfruttato una grossa falla nella sicurezza del protocollo:
"Il deployer di Paid Network, un EOA [Externally Owned Account], ha trasferito la proprietà di un contratto all'assalitore 30 minuti prima del minting."
Paid Network's deployer, an EOA, transferred ownership of a contract to the attacker 30 mins before the minthttps://t.co/h14GdV4fCf
— Nick Chong (@n2ckchong) March 5, 2021
Oltretutto @WARONRUGS, un account su Twitter che si occupa di analizzare il rischio dei progetti DeFi, già a fine gennaio aveva messo in guardia dalla possibilità di tale attacco, affermando che il proprietario del contratto avrebbe potuto coniare i token PAID in qualsiasi momento:
Avviso di truffa #86- PAID Network $PAID
(0x8c8687fC965593DFb2F0b4EAeFD55E9D8df348df)Motivo: il proprietario può creare token. Ha già creato token per nuovi wallet che non li avevano acquistati durante il pre-sale. Il contratto è dietro proxy.
Probabilità di perdere i fondi: molto alta
❌ Scam Advisory #86- PAID Network $PAID (0x8c8687fC965593DFb2F0b4EAeFD55E9D8df348df)
— #WARONRUGS❌ (@WARONRUGS) January 25, 2021
Reason: The owner can mint tokens and did mint tokens to fresh wallets who never bought the presale. Contract is behind a proxy.
Likeliness of losing all funds: Very High
DYOR. #WARONRUGS❌ pic.twitter.com/YQunjpWuxY
Una dichiarazione inviata on-chain all’hacker ha avvisato che “Il Dipartimento di Polizia di Los Angeles contatterà Kyle Chasse molto presto’’. Kyle è il CEO di Paid Network.