Експлойт швидкої позики був націлений на Nereus Finance, протокол кредитування на основі Avalanche, що призвело до збитків на суму понад 300 тисяч доларів США.
Експлойт Avalanche Flash Loan
USD Coin (USDC) вартістю 371,000 51 доларів США було виведено з Nereus Finance за допомогою смарт-контракту, який фірма з кібербезпеки блокчейнів Certik виявила у вівторок. Незабаром після цього Nereus перейшов у режим усунення пошкоджень і в середу опублікував детальний аналітичний огляд атаки. Вочевидь, зловмисники використали термінову позику в розмірі 998,000 мільйона доларів від Aave, щоб маніпулювати ціною пулу AVAX/USDC Trader Joe LP за один блок. У результаті вони змогли отримати борг у розмірі NXUSD (рідний токен Nereus) на суму 508,000 XNUMX доларів США проти XNUMX XNUMX доларів США в забезпеченні. Після погашення термінового кредиту зловмисники обмінювали готівку на різні активи, використовуючи кілька пулів ліквідності, і переміщували ці активи у свої приватні гаманці. Експлойт стався через швидку позику Avalanche, що цікаво в світлі нещодавніх звинувачень у маніпулюванні ринком проти її материнської компанії, Лабораторії Ava.
Команда проводить розтин
Команда Nereus також діяла швидко, повідомивши правоохоронні органи, залучивши фахівців із безпеки та склавши стратегію пом’якшення. Вони також ліквідували та призупинили зловживаний ринок JLP. Крім того, команда використовувала кошти з власної скарбниці для погашення безнадійної заборгованості, щоб усунути всі можливі ризики щодо коштів користувачів. Посмертний аналіз показав, що був «пропущений крок» у розрахунку ціни нових типів забезпечення, які підтримують токени AVAX/USDC Trader Joe LP.
Шлях вперед
Команда також стверджувала, що помилка більше не повториться в майбутньому, кажучи:
«Команда буде вносити зміни в нашу практику аудиту та безпеки, щоб гарантувати, що подібні події не відбуватимуться в майбутньому. Хоча цей експлойт є поганим інцидентом, протоколи нерідко стикаються з такими бойовими випробуваннями. Оскільки ми збираємося агресивно розширюватися, ми продовжуватимемо інвестувати в наші можливості та стратегії зменшення ризиків».
Говорячи про майбутнє проекту, команда також показала, що пул Curve повернувся в рівновагу. Вони зосереджуються на спробах відновлення, вистежуючи хакера та навіть пропонуючи 20% винагороди White Hat за повернення коштів, без жодних запитань. Вони також розробляють різні підходи до відстеження вкрадених коштів з метою їх повернення.
Застереження: Ця стаття надана виключно в ознайомлювальних цілях. Він не пропонується і не призначений для використання як юридична, податкова, інвестиційна, фінансова чи інша порада.
Джерело: https://cryptodaily.co.uk/2022/09/avalanche-based-protocol-loses-371-k-in-flash-loan-attack