Згідно з офіційним обліковим записом X протоколу, на Arbitrum використовувався додаток для керування ліквідністю Concentric. Зловмисник використав «атаку соціальної інженерії», щоб скомпрометувати закритий ключ для облікового запису розгортача протоколу, який потім використовувався для «оновлення сховищ, карбування нових токенів LP і подальшого злиття сховищ їхніх активів», заявила команда.
Concentric закликає користувачів відкликати схвалення з усіх адрес сховищ, які вони перелічують у документах протоколу.
Exploiter is now targeting approvals on vaults, please revoke all approvals to these addresses:https://t.co/3vTEWu23BJ https://t.co/KlZo5PqjlI
— Concentric.fi (@ConcentricFi) January 22, 2024
Згідно зі звітом платформи безпеки блокчейну CertiK, наразі під час атаки було втрачено понад 1,8 мільйона доларів. Атакуючий гаманець «пов’язаний» з гаманцем, який 13 грудня здійснив експлойт децентралізованого обміну OKX, заявив CertiK, маючи на увазі, що обидві атаки могли бути здійснені однією особою чи групою.
Гаманець-експлуататор викликав функцію adminMint у контракті Concentric, карбуючи 0,001 токена CONE-1. Потім вони викликали «спалити», щоб обміняти токени CONE-1 на кошти з AlgebraPool. Цей процес повторювався кілька разів, дозволяючи зловмиснику отримати кілька токенів ERC-20, які згодом були замінені на ефір (ETH).
We have seen an exploit on @ConcentricFi on Arbitrum
Exploiter wallet is linked to the OKX Exploiter
Initial losses look to be around ~$1.6mhttps://t.co/t9liWxo3jz
— CertiK Alert (@CertiKAlert) January 22, 2024
Команда Concentric повідомила, що розпочала розслідування та якнайшвидше опублікує посмертний звіт. У звіті команда надасть план усунення вразливості. «Наша команда повністю віддана вирішенню цієї проблеми та відновленню цілісності протоколу Concentric», — заявив Concentric.
За темою: злом CoinEx: скомпрометовані закриті ключі призвели до крадіжки на 70 мільйонів доларів
Протоколи управління ліквідністю використовуються для встановлення мінімальних і максимальних цін і відновлення балансу пулів ліквідності на децентралізованій біржі (DEX). Вони почали набувати популярності після того, як у 2021 році Uniswap випустив функцію «концентрованої ліквідності», яка дозволяла постачальникам ліквідності встановлювати мінімальну та максимальну ціну, за якою їхні активи можуть торгуватися. Це ускладнило надання ліквідності, що призвело до того, що деякі користувачі використовували протоколи керування для обробки своїх активів.
Інший менеджер ліквідності, Gamma Protocol, був атакований 4 січня та витягнув майже 500 000 доларів США через уразливість смарт-контракту. Дві атаки використовувалися різними методами і, здається, не пов’язані між собою.
