Аналитики портала Messari предали огласке серьезный инфляционный баг, произошедший в сети Stellar еще в апреле 2017 года. Тогда этот инцидент остался почти незамеченным.

По их данным, некий злоумышленник с помощью бага в функции «MergeOPFrame::doApply» протокола Stellar создал около 2,25 млрд XLM (на тот момент примерно $10 млн).

Впоследствии монеты были переведены на биржи и, вероятно, проданы в первой половине 2017 года. Аналитики смогли обнаружить историю относящихся к багу транзакций через клиент Horizon, в обозревателях блоков она недоступна.

«Эмиссия составила около четверти всех монет в обращении по состоянию на апрель 2017 года, однако Stellar Development Foundation не предал огласке этот инцидент на должном уровне. Впоследствии, чтобы сохранить паритет, разработчики приняли решение об уничтожении соответствующего объема XLM из резервов сообщества», — указали исследователи.

Предварительный фикс для бага был представлен основателем Stellar Джедом Маккалебом 6 апреля, но вплоть до его официального релиза 30 апреля вектор атаки оставался открытым.

В свою очередь, представители Stellar заявили, что пару раз упоминали об использовании бага в комментариях к релизу и с тех пор существенно пересмотрели стандарты разглашения информации.

«После этого инцидента достойные такого внимания баги в протоколе не обнаруживались», — добавил представитель Stellar.

Напомним, в ноябре 2018 года в сети Stellar были замечены транзакции на миллиарды токенов XLM, осуществляемые одним и тем же адресом. Общая сумма переводов тогда превысила доступное на рынке предложение монет, однако вскоре выяснилось, что транзакции были фейковыми.