1月16日消息,X平台用户@0xBoboShanti发帖称,Fantom生态项目Hector Network的社区成员最近表示担心,他们认为赎回合约早些时候被利用了270万美元。背景:经过长期低于账面价值的交易,Hector Network最终决定在2023年7月清算金库并将资金分配给HEC持有人。在此过程中会遇到许多困难,包括对财政部的进一步损失(如Multichain黑客攻击)。社区努力尝试(例如成立HectorCommunity.eth)并加快这一进程,并尽可能地保护金库资金。
该用户表示:“今天早些时候,Hector Network似乎开始采取第一步来启用分发,部署了新的合约,1100万美元从多签地址转移到HectorRedemptionTreasury合约。要从HectorRedemptionTreasury接收资金,用户需要在TokenVault合约上调用mintWithdraw(…),这将:1.从recipientTokens映射中检索用户的redeemAmount;2.调用内部mintwidraw ();3._mintWithdraw()生成一个NFT,之后将资金从HectorRedemptionTreasury转移到用户,销毁NFT。在_mintwidraw()中有条件检查。最值得注意的是,它要求接收者存在于eligibleWallets映射中。那么,如果用户不在符合条件的钱包中,他们是如何兑换270万美元的呢?为什么他们的redeemAmount(从recipientTokens映射中获得)是270万美元呢?”
该用户分析称,这是因为部署者明确地将这个钱包添加到映射中。TokenVault合约的部署者之前通过addEligibleWallet(…)添加了这个特定的钱包,金额约为279万美元。值得注意的是,这是仅有的两个钱包中的一个,作为合格的钱包添加到TokenVault合约中。(还添加了另一个钱包,可兑换2000美元)。收到USDC后,该钱包迅速通过Uniswap X将270万USDC兑换为1100枚ETH,然后440个ETH被发送到一个新的钱包,然后358个ETH被发送到另外4个新的钱包。不久之后,Hector Network multisig在HectorRedemptionTreasury上调用了withwall(),将剩余的900万USDC返还给multisig。在这个阶段,确认这是否是一个漏洞还为时过早,或者是一些非正统的测试,涉及将金库资金交换为ETH并分发到新的钱包(没有逻辑原因)。由于钱包是由部署者明确添加到TokenVault合约中的,因此最有可能的解释是私钥泄露或流氓开发人员。由于团队保持沉默,监控相关钱包可能是确定实际发生情况的唯一方法。