PANews 1月16日消息,X平台用戶@0xBoboShanti發文稱,Fantom生態項目Hector Network的社區成員最近表示擔心,他們認為贖回合約早些時候被利用了270萬美元。背景:經過長期低於帳面價值的交易,Hector Network最終決定在2023年7月清算金庫並將資金分配給HEC持有人。在此過程中會遇到許多困難,包括對財政部的進一步損失(如Multichain黑客攻擊)。社群努力嘗試(例如成立HectorCommunity.eth)並加快這一進程,並盡可能地保護金庫資金。
該用戶表示:「今天早些時候,Hector Network似乎開始採取第一步來啟用分發,部署了新的合約,1100萬美元從多簽地址轉移到HectorRedemptionTreasury合約。要從HectorRedemptionTreasury接收資金,用戶需要在TokenVault合約上呼叫mintWithdraw(…),這將:1.從recipientTokens映射中檢索用戶的redeemAmount;2.調用內部mintwidraw ();3._mintWithdraw()產生一個NFT,之後將資金從HectorRedemptionTreasury轉移到用戶,銷毀到用戶,銷毀。在_mintwidraw()中有條件檢查。最值得注意的是,它要求接收者存在於eligibleWallets映射中。那麼,如果用戶不在符合條件的錢包中,他們是如何兌換270萬美元的呢?為什麼他們的redeemAmount(從recipientTokens映射中獲得)是270萬美元呢?”
該用戶分析稱,這是因為部署者明確地將這個錢包添加到映射中。 TokenVault合約的部署者之前透過addEligibleWallet(…)添加了這個特定的錢包,金額約為279萬美元。值得注意的是,這是僅有的兩個錢包中的一個,作為合格的錢包添加到TokenVault合約中。 (還增加了另一個錢包,可兌換2000美元)。收到USDC後,該錢包迅速透過Uniswap X將270萬USDC兌換為1100枚ETH,然後440個ETH被發送到一個新的錢包,然後358個ETH被發送到另外4個新的錢包。不久之後,Hector Network multisig在HectorRedemptionTreasury上呼叫了withwall(),將剩餘的900萬USDC返還給multisig。在這個階段,確認這是否是一個漏洞還為時過早,或者是一些非正統的測試,涉及將金庫資金交換為ETH並分發到新的錢包(沒有邏輯原因)。由於錢包是由部署者明確添加到TokenVault合約中的,因此最有可能的解釋是私鑰洩漏或流氓開發人員。由於團隊保持沉默,監控相關錢包可能是確定實際發生情況的唯一方法。
