Eksploat pożyczki błyskawicznej wycelowany w Nereus Finance, protokół pożyczkowy oparty na lawinach, spowodował straty w wysokości ponad 300 XNUMX USD.
Wykorzystywanie pożyczki lawinowej
Moneta USD (USDC) o wartości 371,000 51 USD została wyprowadzona z Nereus Finance za pomocą inteligentnego exploita kontraktowego, który został wyłapany we wtorek przez firmę Certik zajmującą się cyberbezpieczeństwem blockchain. Niedługo potem Nereus wszedł w tryb naprawy uszkodzeń i opublikował w środę dogłębną sekcję zwłok po ataku. Najwyraźniej atakujący wykorzystali pożyczkę błyskawiczną w wysokości 998,000 milionów dolarów od Aave, aby manipulować ceną puli AVAX/USDC Trader Joe LP za pojedynczy blok. W rezultacie byli w stanie wygenerować dług NXUSD (rodzimy token Nereusa) w wysokości 508,000 XNUMX USD w stosunku do XNUMX XNUMX USD w postaci papierów wartościowych. Po spłaceniu pożyczki błyskawicznej sprawcy wymienili gotówkę na różne aktywa, korzystając z szeregu puli płynności, i przenieśli te aktywa do swoich prywatnych portfeli. Exploit nastąpił z powodu błyskawicznej pożyczki Avalanche, która jest interesująca w świetle niedawnych zarzutów o manipulacje na rynku wobec jej spółki dominującej, Ava Labs.
Zespół wykonuje post mortem
Zespół Nereusa działał również szybko, powiadamiając organy ścigania, angażując specjalistów ds. bezpieczeństwa i przygotowując strategię łagodzenia skutków. Zlikwidowali również i zawiesili nadużywany rynek JLP. Ponadto zespół wykorzystał środki z własnego skarbca do spłaty nieściągalnego długu w celu wyeliminowania wszelkiego potencjalnego ryzyka związanego z funduszami użytkowników. Sekcja zwłok wykazała, że wystąpił „pominięty krok” w obliczaniu ceny nowych rodzajów zabezpieczeń, które obsługują tokeny AVAX/USDC Trader Joe LP.
Way Forward
Zespół twierdził również, że błąd nie powtórzy się w przyszłości, mówiąc:
„Zespół będzie zmieniał nasze praktyki audytu i bezpieczeństwa, aby zapewnić, że tego typu zdarzenia nie wystąpią w przyszłości. Chociaż ten exploit jest złym incydentem, często zdarza się, że protokoły przechodzą tego typu testy bojowe. Ponieważ mamy zamiar agresywnie się rozwijać — będziemy nadal inwestować w nasze możliwości i strategie ograniczania ryzyka”.
Mówiąc o przyszłości projektu, zespół ujawnił również, że pula Curve wróciła do równowagi. Koncentrują się na próbach odzyskania pieniędzy, tropiąc hakera, a nawet oferując 20% nagrodę White Hat za zwrot środków, bez zadawania żadnych pytań. Opracowują również różne podejścia do śledzenia skradzionych środków w celu ich odzyskania.
Zastrzeżenie: ten artykuł służy wyłącznie do celów informacyjnych. Nie jest oferowana ani przeznaczona do wykorzystania jako porady prawne, podatkowe, inwestycyjne, finansowe lub inne.
Źródło: https://cryptodaily.co.uk/2022/09/avalanche-based-protocol-loses-371-k-in-flash-loan-attack