Базовий блокчейн-експлойт призвів до крадіжки 1 мільйона доларів — Cyvers Alerts

Експлойт із застосуванням неперевірених кредитних контрактів на блокчейні Base призвів до крадіжки приблизно 1 мільйона доларів.

Про інцидент, який тривав кілька годин, повідомила компанія безпеки блокчейну Cyvers Alerts у дописі X 25 жовтня.

Зловмисник скористався вразливістю в смарт-контрактах, пов’язаних з Wrapped Ether (WETH), успішно маніпулював ціною, а потім перевів кошти.

За темою: BingX запускає брандмауер гаманця «ShieldX» через кілька місяців після зламу 52 мільйонів доларів

Експлойт маніпулювання цінами

Початкова підозріла транзакція зловмисника вилучила 993 534 доларів США з неперевірених кредитних контрактів блокчейну Base.

Вони перемістили більшу частину вкрадених коштів у мережу Ethereum, а потім внесли приблизно 202 549 доларів США в орієнтований на конфіденційність сервіс Tornado Cash. Додаткові кошти на загальну суму $455 127 були отримані за допомогою того самого експлойту.

У письмовому запитанні та відповіді на Cointelegraph Хакан Унал, старший керівник SOC Cyvers Alerts, пояснив уразливість, використану в атаці:

«Оракул, який використовувався в цих контрактах, не був надійним, покладаючись лише на одну пару з обмеженою ліквідністю ~400 тисяч доларів, що робило його сприйнятливим до коливань цін, якими можна було маніпулювати».

За темою: державні криптовалютні гаманці США зламано на 20 мільйонів доларів — Arkham Intelligence

Наслідки безпеки та запобігання

Експлуатація неперевірених кредитних контрактів у цій події розкриває ширші ризики, пов’язані з платформами децентралізованого фінансування (DeFi), які не впроваджують жорстких заходів безпеки.

Унал пояснив, що «більш надійний, диверсифікований оракул з вищою ліквідністю, щоб уникнути маніпулювання цінами», можна використовувати для запобігання подібним атакам у майбутньому, особливо «для таких активів, як WETH».

«Посилена належна обачність для перевірки кредитного договору, зокрема щодо використовуваних оракулів, може зменшити ці ризики».

За темою: хакер Radiant Capital переміщує 52 мільйони доларів у вигляді викрадених коштів

Хто винен?

Unal повідомив Cointelegraph, що «зловмиснику вдалося втекти» з коштами, вкраденими шляхом використання «вразливості маніпулювання цінами».

«Відповідальність, ймовірно, лягає на організацію, яка керує неперевіреними кредитними контрактами, а також на тих, хто відповідає за вибір недостатньо безпечного оракула для перевірки ціни».

Особу зловмисника поки що не встановлено, йому вдалося втекти з викраденими коштами.

Цей інцидент підкреслює потребу платформ DeFi у вдосконаленні протоколів безпеки для захисту коштів користувачів і забезпечення перевірки контрактів у майбутньому, щоб запобігти виникненню подібних подій.