24 вересня користувачі Upbit отримали шахрайські токени ClaimAPTGift у рамках аірдропу без надсилання відповідного запиту. Система криптобіржі сприйняла актив як Aptos (APT).
⚡️How did such a huge and foolish incident occur?
– It seems that during the process of reflecting $APT coin deposits, there was a failure to check the type arguments, and all same functions transfers were recognized as the same APT native token.
– Under normal circumstances,… https://t.co/CvDgTdqnGl pic.twitter.com/8gEx5YnOLH— Definalist (@definalist) September 24, 2023
Згідно з користувачем Definalist, єдиним поясненням цієї ситуації є те, що система управління гаманцями перевіряла тільки тип і дані токена без належної перевірки його вихідного коду.
«Схоже, що в процесі відображення депозитів APT сталася помилка перевірки аргументів типу. Усі передачі одних і тих самих функцій були розпізнані як монета APT. Якби всі токени екосистеми Aptos було надіслано на гаманець Upbit, їх було б помилково прийнято за APT», — пояснив він.
Definalist із посиланням на творця _TUNA_BOT під ніком Mingmingbbs вказав, що «катастрофі» запобігло те, що ціна ClaimAPTGift мала шість цифр після коми, тоді як APT — вісім.
За такого сценарію всі користувачі отримали б $25 000 замість $250. У результаті тисячі клієнтів могли скинути «APT» на суму $25 000 доларів, що спричинило б значні збої.
Після виявлення «нестандартної спроби депонування» APT фахівці криптобіржі ініціювали перевірку. Платформа призупинила обробку операцій з активом з подальшим відновленням після усунення проблеми.
Деякі користувачі, які отримали ClaimAPTGift, продали «APT», після чого служба підтримки Upbit попросила повернути кошти.
Нагадаємо, 23 серпня команда Aptos представила «гнучкий» стандарт токенів. Згідно із заявою, нова форма дає змогу реалізовувати функції безшовних аірдропів, індивідуального прив’язування активів і поліпшення продуктивності.