Хакеры ликвидировали Defrost Finance, что привело к убыткам в размере 12 миллионов долларов

Компания PeckShield, занимающаяся наблюдением за безопасностью блокчейна, подтвердила, что атака мгновенного кредита в Defrost Finance привела к тому, что пользователи потеряли более 12 миллионов долларов.

Размораживание V1 и V2 в стадии изучения

После того, как несколько пользователей пожаловались на значительные потери на своих счетах, Defrost Finance объявила о расследовании возможного взлома своего аккаунта. Разморозка V1 и платформы V2. Доран, член основной команды, сообщил пользователям воздержаться от использования Defrost V2 через Telegram.

Хакеры ликвидировали Defrost Finance, что привело к убыткам в размере 12 миллионов долларов - 1 — Сообщение Дорана, основного члена сообщества Defrost Finance. Источник: Телеграм

Сначала платформа подумала, что атаке подвергся только Defrost V2, и решила закрыть его, чтобы защитить пользователей. Хакер нацелен MetaMask Кошельки, в которых размещаются токены пользователей Defrost Finance (MELT) и Avalanche (AVAX).

Defrost Finance с грустью сообщает, что наш V2 подвергся взлому, когда злоумышленник использовал функцию мгновенного кредита для вывода средств.
V1 не затрагивается. Вскоре мы закроем пользовательский интерфейс V2 и продолжим расследование с нашей технической командой.
Обновления будут публиковаться на наших официальных каналах.
— Разморозка Финансов 🔺 (@Defrost_Finance) 24 декабря 2022

В другом заявлении Defrost Finance через Дорана объявил, что его Defrost V1 также подвергся атаке, и посоветовал пользователям выводить средства в протоколе, чтобы избежать дальнейших потерь.

Первоначальный анализ, проведенный PerkShield, показал эксплойт посредством манипулирования функциями мгновенного кредита и депозита, что было возможно из-за отсутствия блокировки повторного входа. Хакер использовал возможность подделать цену акций LSWUSDC. На тот момент хакер заработал около 173,000 XNUMX долларов.

Ассоциация @Defrost_Finance эксплуатируется, в результате чего хакер заработал около 173 тысяч долларов. Взлом стал возможен благодаря отсутствию блокировки повторного входа для функций flashloan()/deposit(), которая использовалась хакером для манипулирования ценой акций LSWUSDC. pic.twitter.com/SINHUZXC0D
- PeckShieldAlert (@PeckShieldAlert) 23 декабря 2022

Дальнейший анализ показал, что хакер ввел залоговый токен лица и использовал вредоносный ценовой оракул для ликвидации пользователей на платформе. Потери в результате взлома оцениваются в более $ 12 миллионов.

Defrost Finance — это полностью честная торговая платформа для запуска, работающая в Лавинный блокчейн. Компания посоветовала своим инвесторам прекратить использование ее платформы, поскольку внутренняя команда работает над расследованием и решением проблемы.

Сообщество не восприняло заявление Defrost Finance буквально, а расценило его как перетягивание каната. Злоумышленники удерживают существенную часть платформы, что требует немедленных действий, которые могут спасти ситуацию. Руководство Defrost Finance готово рассчитаться с злоумышленниками, тем самым объявляя о предложении хакерам в последних разработках.

Команда Defrost готова вести переговоры с хакером(ами).
Мы готовы обсудить разделение 20% (по договоренности) средств в обмен на большую часть активов и призываем хакеров связаться с нами как можно скорее.
— Разморозка Финансов 🔺 (@Defrost_Finance) 25 декабря 2022

Частота атак мгновенных кредитов

10 декабря злоумышленники проникли в основанный на Arbitrum протокол заимствования Lodestar Finance через атака на мгновенный кредит. Согласно Lodestar, злоумышленник завысил значение токена plvGLP, а затем использовал поддельный токен, чтобы заимствовать весь доступный запас ликвидности сети. Злоумышленник забрал более 5.8 миллиона долларов, но Lodestar подтвердила, что вернула около 2.8 миллиона долларов, которые помогли вернуть вкладчикам.

Следите за нами в Новостях Google

Источник: https://crypto.news/hackers-liquidate-defrost-finance-triggering-a-12m-loss/