Согласно официальному аккаунту X протокола, приложение для управления ликвидностью Concentric было использовано на Arbitrum. Злоумышленник использовал «атаку социальной инженерии», чтобы скомпрометировать закрытый ключ учетной записи развертывателя протокола, который затем использовался для «обновления хранилищ, создания новых токенов LP и последующего опустошения хранилищ их активов», заявила команда.
Concentric призывает пользователей отозвать разрешения со всех адресов хранилищ, которые они перечисляют в документах протокола.
Exploiter is now targeting approvals on vaults, please revoke all approvals to these addresses:https://t.co/3vTEWu23BJ https://t.co/KlZo5PqjlI
— Concentric.fi (@ConcentricFi) January 22, 2024
Согласно отчету платформы безопасности блокчейна CertiK, в результате атаки на данный момент было потеряно более 1,8 миллиона долларов. Атакующий кошелек «связан» с кошельком, который 13 декабря осуществил эксплойт децентрализованной биржи OKX, заявила CertiK, подразумевая, что обе атаки могли быть осуществлены одним и тем же человеком или группой.
Кошелек-эксплуататор вызвал функцию adminMint в концентрическом контракте, отчеканив 0,001 токена CONE-1. Затем они призвали «сжечь», чтобы обменять токены CONE-1 на средства из AlgebraPool. Этот процесс повторялся несколько раз, что позволило злоумышленнику получить несколько токенов ERC-20, которые впоследствии были заменены на эфир (ETH).
We have seen an exploit on @ConcentricFi on Arbitrum
Exploiter wallet is linked to the OKX Exploiter
Initial losses look to be around ~$1.6mhttps://t.co/t9liWxo3jz
— CertiK Alert (@CertiKAlert) January 22, 2024
Команда Concentric заявила, что начала расследование и как можно скорее опубликует отчет о вскрытии. В отчете команда предоставит план устранения уязвимости. «Наша команда полностью привержена решению этой проблемы и восстановлению целостности протокола Concentric», — заявил Concentric.
Связанный: Взлом CoinEx: Скомпрометированные приватные ключи привели к краже 70 миллионов долларов
Протоколы управления ликвидностью используются для установки минимальных и максимальных цен и для ребалансировки пулов ликвидности на децентрализованной бирже (DEX). Их популярность начала расти после того, как Uniswap в 2021 году выпустила функцию «концентрированной ликвидности», которая позволила поставщикам ликвидности устанавливать минимальную и максимальную цену, по которой можно торговать их активами. Это усложнило предоставление ликвидности, в результате чего некоторые пользователи стали использовать протоколы управления для управления своими активами.
Другой менеджер ликвидности, Gamma Protocol, подвергся атаке 4 января и украл почти 500 000 долларов США из-за уязвимости смарт-контракта. В этих двух атаках использовались разные методы и, похоже, они не связаны между собой.
