Експлойт із застосуванням неперевірених кредитних контрактів на блокчейні Base призвів до крадіжки приблизно 1 мільйона доларів.
Про інцидент, який тривав кілька годин, повідомила компанія безпеки блокчейну Cyvers Alerts у дописі X 25 жовтня.
Зловмисник скористався вразливістю в смарт-контрактах, пов’язаних з Wrapped Ether (WETH), успішно маніпулював ціною, а потім перевів кошти.
За темою: BingX запускає брандмауер гаманця «ShieldX» через кілька місяців після зламу 52 мільйонів доларів
Експлойт маніпулювання цінами
Початкова підозріла транзакція зловмисника вилучила 993 534 доларів США з неперевірених кредитних контрактів блокчейну Base.
Вони перемістили більшу частину вкрадених коштів у мережу Ethereum, а потім внесли приблизно 202 549 доларів США в орієнтований на конфіденційність сервіс Tornado Cash. Додаткові кошти на загальну суму $455 127 були отримані за допомогою того самого експлойту.
У письмовому запитанні та відповіді на Cointelegraph Хакан Унал, старший керівник SOC Cyvers Alerts, пояснив уразливість, використану в атаці:
«Оракул, який використовувався в цих контрактах, не був надійним, покладаючись лише на одну пару з обмеженою ліквідністю ~400 тисяч доларів, що робило його сприйнятливим до коливань цін, якими можна було маніпулювати».
За темою: державні криптовалютні гаманці США зламано на 20 мільйонів доларів — Arkham Intelligence
Наслідки безпеки та запобігання
Експлуатація неперевірених кредитних контрактів у цій події розкриває ширші ризики, пов’язані з платформами децентралізованого фінансування (DeFi), які не впроваджують жорстких заходів безпеки.
Унал пояснив, що «більш надійний, диверсифікований оракул з вищою ліквідністю, щоб уникнути маніпулювання цінами», можна використовувати для запобігання подібним атакам у майбутньому, особливо «для таких активів, як WETH».
«Посилена належна обачність для перевірки кредитного договору, зокрема щодо використовуваних оракулів, може зменшити ці ризики».
За темою: хакер Radiant Capital переміщує 52 мільйони доларів у вигляді викрадених коштів
Хто винен?
Unal повідомив Cointelegraph, що «зловмиснику вдалося втекти» з коштами, вкраденими шляхом використання «вразливості маніпулювання цінами».
«Відповідальність, ймовірно, лягає на організацію, яка керує неперевіреними кредитними контрактами, а також на тих, хто відповідає за вибір недостатньо безпечного оракула для перевірки ціни».
Особу зловмисника поки що не встановлено, йому вдалося втекти з викраденими коштами.
Цей інцидент підкреслює потребу платформ DeFi у вдосконаленні протоколів безпеки для захисту коштів користувачів і забезпечення перевірки контрактів у майбутньому, щоб запобігти виникненню подібних подій.
