Wise Lending злила криптовалюту на суму 440 тис. дол. США через очевидний експлойт швидкої позики

Автор Alexander Zhdanov На читання 2 хв Переглядів 8 Опубліковано 12.01.2024 Оновлено 13.01.2024

Згідно з даними багатьох експертів з безпеки, програма кредитування Web3 і агрегатор доходів Wise Lending втратили 170 ефірів (ETH) на суму 440 000 доларів США за поточними цінами. Експлуататор міг маніпулювати ціною оракула через швидку позику, щоб здійснити експлойт.

Дані Blockchain показують, що атака сталася о 19:29 UTC. Для виведення коштів зловмисник використовував неперевірений контракт із адресою, що закінчується на d82c. У цей контракт було передано кілька токенів, у тому числі USD Coin (USDC) на суму 9000 доларів США, Tether (USDT) на суму 2000 доларів США, DAI на суму 5000 доларів США, 18,51 Wrapped Ether (WETH) (47,694 доларів США) і численні токени, пов’язані з Pendle Finance.

Експлойт-транзакції Wise Lending 12 січня. Джерело: Etherscan.

У рамках експлойту зловмисник позичив 1110 токенів Lido Staked Ether (stETH) (2,9 мільйона доларів) у протоколі кредитування AAVE. Експлуататори часто використовують швидкі позики, щоб маніпулювати цінами оракул.

За темою: що таке флеш-кредити в DeFi?

Псевдонімний дослідник безпеки блокчейну Спрек попередив криптовалютну спільноту про атаку на X, заявивши: «Схоже, Wise Lending використано на ~170 eth».

Looks like Wise Lending exploited for ~170 eth pic.twitter.com/FKivuNIKZV

— Spreek (@spreekaway) January 12, 2024

У відповіді на власну публікацію Spreek припустив, що вразливість могла бути пов’язана з новим похідним маркером Pendle Finance. Інший дослідник безпеки, Officer’s Notes, поділився публікацією, прокоментувавши «Ще один день, ще один експлойт». Відповідно до «Приміток офіцера», уразливість могла бути спричинена коливанням ціни між stETH та ефіром (ETH) на 7% у певному пулі, який, у свою чергу, був «b/c flashloan AAVE v2 stETH».

2024 рік тільки почався, але протоколи децентралізованого фінансування (DeFi) вже втратили щонайменше 5 мільйонів доларів через експлойти.3 січня вартість Radiant Capital склала понад 4,5 мільйона доларів. Наступного дня менеджер з ліквідності Gamma Protocol втратив понад 400 000 доларів США через експлойт.

За даними платформи безпеки блокчейну Certik, у 2023 році понад 1,8 мільярда доларів було втрачено через злом криптовалюти, шахрайство та експлойт.