Эксплойт, связанный с непроверенными кредитными контрактами в блокчейне Base, привел к краже примерно 1 миллиона долларов.
Об инциденте, который длился несколько часов, сообщила компания Cyvers Alerts, занимающаяся безопасностью блокчейн, в посте X от 25 октября.
Злоумышленник воспользовался уязвимостью в смарт-контрактах, связанных с Wrapped Ether (WETH), успешно манипулировал ценой, а затем перекачал средства.
Связанный: BingX запускает брандмауэр кошелька «ShieldX» через несколько месяцев после взлома на 52 миллиона долларов
Эксплойт манипулирования ценами
Первоначальная подозрительная транзакция злоумышленника извлекла 993 534 доллара США из непроверенных кредитных контрактов блокчейна Base.
Они перевели большую часть украденных средств в сеть Ethereum, а затем разместили около 202 549 долларов США в ориентированном на конфиденциальность сервисе Tornado Cash. С помощью того же эксплойта были похищены дополнительные средства на общую сумму $455 127.
В письменных вопросах и ответах с Cointelegraph Хакан Унал, старший руководитель SOC Cyvers Alerts, объяснил уязвимость, использованную в атаке:
«Оракул, используемый в этих контрактах, не был надежным, полагаясь только на одну пару с ограниченной ликвидностью в ~ 400 тысяч долларов, что делало его восприимчивым к колебаниям цен, которыми можно было манипулировать».
По теме: Криптовалютные кошельки правительства США взломаны на 20 миллионов долларов — Arkham Intelligence
Последствия для безопасности и предотвращение
Использование непроверенных кредитных контрактов в этом случае раскрывает более широкие риски, связанные с платформами децентрализованного финансирования (DeFi), которые не обеспечивают строгие меры безопасности.
Унал объяснил, что «более надежный, диверсифицированный оракул с более высокой ликвидностью, позволяющий избежать манипулирования ценами», можно использовать для предотвращения подобных атак в будущем, особенно «для таких активов, как WETH».
«Усиленная комплексная проверка при проверке кредитных контрактов, особенно в отношении используемых оракулов, может смягчить эти риски».
Связанный: Хакер Radiant Capital перевел украденные средства на сумму 52 миллиона долларов
Кто виноват?
Унал сообщил Cointelegraph, что «злоумышленнику удалось скрыться» с украденными средствами, воспользовавшись «уязвимостью манипулирования ценами».
«Ответственность, скорее всего, ляжет на организацию, управляющую непроверенными кредитными контрактами, а также на тех, кто несет ответственность за выбор недостаточно надежного оракула для проверки цен».
Злоумышленник пока не установлен, и ему удалось скрыться с украденными средствами.
Этот инцидент подчеркивает необходимость того, чтобы платформы DeFi улучшили протоколы безопасности для защиты средств пользователей и обеспечения проверки контрактов в будущем, чтобы предотвратить возникновение подобных событий.
