Децентрализованная биржа Level Finance столкнулась с брешью в системе безопасности, что позволило злоумышленнику украсть более 1 миллиона долларов родного токена биржи Level Finance (LVL).
Level Finance сообщил своим 20 000 подписчикам в Твиттере, что более 214 000 токенов биржи LVL были слиты и обменены на 3 345 монет Binance Coin (BNB) приблизительной стоимостью 1,01 миллиона долларов.
An exploit targeted our Referral Controller Contract.
– 214k LVL tokens drained to exploiters address.
– Attacker swapped LVL to 3,345 BNB
– Exploit was isolated from other contracts.
– Fix to be deployed in 12 Hrs.
– LP's and DAO treasury UNAFFECTED.More details to follow.
— LEVEL Finance #RealYield (@Level__Finance) May 1, 2023
Согласно компании Peckshield, занимающейся безопасностью блокчейна, смарт-контракт Level Finance «LevelReferralControllerV2» содержал ошибку, которая допускала «повторные реферальные заявки» из одной и той же эпохи. Это было подтверждено Level Finance в более позднем заявлении, сделанном в Discord.
It seems the @Level__Finance's LevelReferralControllerV2 contract has a bug that allows for repeated referral claims from the same epoch. So far 214k LVLs have been drained and swapped into 3,345 BNB (~1M)
Here is an example hack tx: https://t.co/isqHhzFk1Z https://t.co/ikOWx2ezf6 pic.twitter.com/wlr5bFFf0R
— PeckShield Inc. (@peckshield) May 1, 2023
Между тем, данные Binance Chain Explorer BSC Scan, контракт контроллера V2, показывают многочисленные вызовы функции «требовать несколько» за последние 48 часов.
На момент написания статьи реализация контракта, по-видимому, не изменилась с момента появления атаки, однако Level Finance сообщает, что в течение следующих 12 часов будет развернута новая реализация реферального контракта.
Биржа также отметила, что ее пулы ликвидности и связанные с ними DAO остаются незатронутыми атакой.
Связанные с этим: мошенничество с криптовалютой в апреле, эксплойты и взломы привели к потере 103 миллионов долларов — CertiK
Согласно @DeDotFiSecurity в Твиттере, команда говорит, что она «временно закрыла реферальную программу», что остановило эксплойт.
В Discord представители Level Finance заявили, что эксплойт был изолирован от других эксплойтов и что пользователи биржи должны «ожидать полного вскрытия».
