У децентралізованій біржі Level Finance стався злом у безпеці, що дозволило зловмиснику викрасти понад 1 мільйон доларів із рідного токена біржі Level Finance (LVL).
Level Finance повідомила своїх 20 000 підписників у Twitter, що понад 214 000 токенів LVL біржі було злито та обміняно на 3345 Binance Coin (BNB) приблизною вартістю 1,01 мільйона доларів.
An exploit targeted our Referral Controller Contract.
– 214k LVL tokens drained to exploiters address.
– Attacker swapped LVL to 3,345 BNB
– Exploit was isolated from other contracts.
– Fix to be deployed in 12 Hrs.
– LP's and DAO treasury UNAFFECTED.More details to follow.
— LEVEL Finance #RealYield (@Level__Finance) May 1, 2023
За даними фірми з безпеки блокчейнів Peckshield, смарт-контракт «LevelReferralControllerV2» від Level Finance містив помилку, яка дозволяла «повторні претензії щодо рефералів» з тієї ж епохи. Це було підтверджено Level Finance у пізнішій заяві, зробленій на Discord.
It seems the @Level__Finance's LevelReferralControllerV2 contract has a bug that allows for repeated referral claims from the same epoch. So far 214k LVLs have been drained and swapped into 3,345 BNB (~1M)
Here is an example hack tx: https://t.co/isqHhzFk1Z https://t.co/ikOWx2ezf6 pic.twitter.com/wlr5bFFf0R
— PeckShield Inc. (@peckshield) May 1, 2023
Тим часом, дані дослідника ланцюгів Binance BSC Scan, контракт контролера V2 показують численні виклики функції «claim multiple» за останні 48 годин.
На момент написання статті реалізація контракту, здається, не була змінена з моменту атаки, однак Level Finance повідомляє, що розгорне нову реалізацію реферального контракту протягом наступних 12 годин.
Біржа також зазначила, що її пули ліквідності та пов’язані з ними DAO не постраждали від атаки.
За темою: Квітневі шахрайства, експлойти та зломи криптовалют призвели до втрати 103 мільйонів доларів — CertiK
Як повідомляє @DeDotFiSecurity у Twitter, команда повідомляє, що вона «тимчасово закрила реферальну програму», що зупинило експлойт.
У Discord Level Finance заявили, що експлойт був ізольований від інших експлойтів і що користувачі біржі повинні «чекати повного посмертного аналізу».
