Эксплойт для мгновенного кредита был нацелен на Nereus Finance, протокол кредитования на основе Avalanche, что привело к убыткам на сумму более 300 тысяч долларов.
Эксплойт Avalanche Flash Loan
Монета USD Coin (USDC) стоимостью 371,000 51 долларов была выведена из Nereus Finance с помощью эксплойта смарт-контракта, который во вторник обнаружила компания Certik, занимающаяся кибербезопасностью блокчейна. Вскоре после этого Nereus перешел в режим устранения повреждений и в среду опубликовал подробный анализ атаки. Судя по всему, злоумышленники использовали мгновенный кредит в размере 998,000 миллиона долларов от Aave, чтобы манипулировать ценой пула AVAX/USDC Trader Joe LP за один блок. В результате они смогли создать долг NXUSD (родной токен Nereus) в размере 508,000 XNUMX долларов против XNUMX XNUMX долларов в качестве обеспечения. После того, как мгновенный кредит был погашен, преступники обменяли наличные деньги на различные активы, используя несколько пулов ликвидности, и перевели эти активы в свои личные кошельки. Эксплойт произошел из-за мгновенного кредита Avalanche, который интересен в свете недавних обвинений в манипулировании рынком против его материнской компании. Ava Labs.
Команда проводит вскрытие
Команда Nereus также действовала быстро, уведомив правоохранительные органы, пригласив специалистов по безопасности и разработав стратегию смягчения последствий. Они также ликвидировали и приостановили злоупотребление рынком JLP. Кроме того, команда использовала средства из собственной казны для погашения безнадежных долгов, чтобы исключить все потенциальные риски для средств пользователей. Вскрытие показало, что в расчете цены новых типов обеспечения, которые поддерживают токены AVAX/USDC Trader Joe LP, был «упущен шаг».
Путь вперед
Команда также заявила, что ошибка больше не повторится в будущем, сказав:
«Команда будет вносить поправки в наши методы аудита и безопасности, чтобы гарантировать, что подобные события не произойдут в будущем. Хотя этот эксплойт является плохим инцидентом, протоколы нередко сталкиваются с такими боевыми испытаниями. Поскольку мы собираемся активно расширяться, мы продолжим инвестировать в наши возможности и стратегии снижения рисков».
Говоря о будущем проекта, команда также сообщила, что пул Curve снова в равновесии. Они сосредоточены на попытках восстановления, выслеживая хакера и даже предлагая 20% вознаграждение White Hat за возврат средств без каких-либо вопросов. Они также разрабатывают различные подходы к отслеживанию украденных средств с целью их возврата.
Отказ от ответственности: эта статья предназначена только для информационных целей. Он не предлагается и не предназначен для использования в качестве юридических, налоговых, инвестиционных, финансовых или иных советов.
Источник: https://cryptodaily.co.uk/2022/09/avalanche-based-protocol-loses-371-k-in-flash-loan-attack.