Эксплойт по эксплойту кредита Avalanche: украдено $371 тыс. в долларах США

Протокол кредитования на основе Avalanche Nereus Finance стал жертвой хитрого взлома, в результате которого пользователь на сумму 371 000 долларов США (USDC) использовал эксплойт смарт-контракта.

Фирма по кибербезопасности блокчейна CertiK была одной из первых, кто обнаружил эксплойт 6 сентября, указав, что атака затронула пулы ликвидности на Nereus, связанные с децентрализованной биржей Trader Joe и автоматическим маркет-мейкером Curve Finance.

CertiK также предположил, что затронуты сами базовые протоколы, однако 7 сентября Curve Finance ответила через Twitter, заявив: «Возможно, вы имели в виду «затронутые активы», а не «затронутые протоколы». Кажется, затронуты только @nereusfinance и ее активы».

7 сентября Nereus Finance опубликовал подробный отчет об инциденте, в котором объясняется, что «эксплуататор» смог развернуть специальный смарт-контракт, в котором использовался быстрый кредит в размере 51 миллиона долларов от Aave для искусственного манипулирования AVAX/USDC Trader Joe LP (JLP).) цена пула за один блок.

Мы опубликовали вскрытие вчерашнего инцидента с NXUSD.https://t.co/ADhu6PagP2 Спасибо @peckshield @CertiK— Nereus Finance (@nereusfinance) 7 сентября 2022 г.

В результате анонимный хакер смог создать собственный токен Nereus NXUSD на сумму 998 000 долларов США под залог на сумму 508 000 долларов США. Затем они обменяли этот капитал на другие активы через различные пулы ликвидности и сумели уйти с чистой прибылью в размере 371 406 долларов США после возврата срочного кредита.

Инцидент закончился созданием «плохих долгов» NXUSD на сумму 500 000 долларов США в протоколе NXUSD.

Команда Nereus говорит, что быстро исправила ситуацию;после консультации с экспертами по безопасности, разработки плана смягчения последствий и уведомления правоохранительных органов они ликвидировали и приостановили эксплуатируемый рынок JLP.

Сообщается, что безнадежный долг был погашен с помощью NXUSD из казны команды.

По словам Nereus, эксплойт стал результатом «пропущенного шага» в расчете цены, что привело к возможности эксплуатации. Тем не менее, он подчеркнул, что «средства пользователей не находятся под угрозой, и NXUSD по-прежнему имеет чрезмерное обеспечение», и «протокол кредитования и заимствования не пострадал от этого эксплойта».

Nereus также уверен, что такой же эксплойт не будет возможен во второй раз, поскольку команда будет вносить поправки в свои «методы аудита и безопасности, чтобы гарантировать, что подобные события не возникнут в будущем», отметив:

«Хотя этот эксплойт является плохим инцидентом, протоколы нередко сталкиваются с такими боевыми испытаниями».

На момент написания этой статьи команда Nereus пытается идентифицировать хакера и отследить средства и предложила 20% вознаграждение White Hat за возврат средств без вопросов.

Связанный: Стейблкоин NIRV на основе Соланы упал на 85% после эксплойта на 3,5 миллиона долларов

Несмотря на этот недавний эксплойт с флэш-кредитами и несколько других заметных инцидентов в течение года, в ежемесячном отчете CertiK о предупреждениях Skynet за август 2022 года, опубликованном 2 сентября, утверждается, что количество атак такого типа заметно сократилось.

По сравнению с предыдущим месяцем, в августе количество атак с использованием мгновенных кредитов сократилось на 95%, что привело к общей сумме убытков только в размере 745 244 долларов США, что является вторым самым низким показателем в этом году.

На февраль по-прежнему приходится самый низкий зарегистрированный убыток от срочных кредитов — всего 200 000 долларов.