Анонимный хакер нашел уязвимость в протоколе Stellar. Это позволило ему незаметно выпустить 2,25 млрд токенов XLM в апреле 2017 года.
Исследователи портала Messari рассказали об инфляционном баге в функции MergeOPFrame: doApply. Они заявили, что хакер, воспользовавшийся дырой в безопасности, выпустил криптовалюту на 10 млн долларов США.
Аналитики отследили эти монеты и установили, что их вскоре после выпуска продали через биржи. Историю относящихся к багу транзакций удалось отследить через клиент Horizon, в обозревателях блоков она пока недоступна.
Эксперты уточнили:
Эмиссия составила около четверти всех монет в обращении по состоянию на апрель 2017 года, но Stellar Development Foundation не предал огласке этот инцидент на должном уровне. Впоследствии, чтобы сохранить паритет, разработчики приняли решение об уничтожении соответствующего объема XLM из резервов сообщества.
Уже 6 апреля основатель Stellar Джед Маккалеб представил предварительный фикс для бага. Но до 30 апреля вектор атаки оставался открытым.
Разработчики отметили, что несколько раз говорили о баге в комментариях к релизу. Но после инцидента значимые баги в протоколе не обнаруживали.