Το πρωτόκολλο που βασίζεται σε χιονοστιβάδα χάνει 371 $ σε Flash Loan Attack

Ένα flash loan exploit στόχευε το Nereus Finance, ένα πρωτόκολλο δανεισμού που βασίζεται σε Avalanche, με αποτέλεσμα ζημίες που ξεπερνούν τα $300K.

Avalanche Flash Loan Exploit

Κέρμα USD (USDC) αξίας 371,000 δολαρίων αφαιρέθηκε από τη Nereus Finance μέσω ενός έξυπνου συμβολαίου εκμετάλλευσης, το οποίο έπιασε η εταιρεία ασφάλειας στον κυβερνοχώρο blockchain Certik την Τρίτη. Αμέσως μετά, ο Νηρέας μπήκε σε λειτουργία αποκατάστασης ζημιών και δημοσίευσε μια εις βάθος νεκροψία της επίθεσης την Τετάρτη. Προφανώς, οι επιτιθέμενοι μόχλευσαν ένα δάνειο 51 εκατομμυρίων δολαρίων από την Aave για να χειραγωγήσουν την τιμή της ομάδας AVAX/USDC Trader Joe LP για ένα μόνο μπλοκ. Ως αποτέλεσμα, μπόρεσαν να δημιουργήσουν ένα χρέος NXUSD (το εγγενές διακριτικό του Nereus) για 998,000 $ έναντι των 508,000 $ σε ασφάλεια. Μετά την εξόφληση του στιγμιαίου δανείου, οι δράστες αντάλλαξαν τα μετρητά με διαφορετικά περιουσιακά στοιχεία χρησιμοποιώντας μια σειρά από δεξαμενές ρευστότητας και μεταβίβασαν αυτά τα περιουσιακά στοιχεία στα ιδιωτικά τους πορτοφόλια. Η εκμετάλλευση συνέβη λόγω του φλας δανείου Avalanche, το οποίο είναι ενδιαφέρον υπό το φως των πρόσφατων καταγγελιών για χειραγώγηση της αγοράς κατά της μητρικής της εταιρείας, Ava Labs.

Η ομάδα κάνει μεταθανάτια

Η ομάδα του Nereus ενήργησε επίσης γρήγορα ειδοποιώντας τις αρχές επιβολής του νόμου, φέρνοντας επαγγελματίες ασφαλείας και καταρτίζοντας μια στρατηγική μετριασμού. Επίσης, ρευστοποίησαν και ανέστειλαν την κατάχρηση της αγοράς JLP. Επιπλέον, η ομάδα χρησιμοποίησε κεφάλαια από το ταμείο της για να εξοφλήσει το επισφαλές χρέος προκειμένου να εξαλειφθεί κάθε ενδεχόμενο κινδύνου για τα κεφάλαια των χρηστών. Η νεκροψία αποκάλυψε ότι υπήρξε ένα «χαμένο βήμα» στον υπολογισμό της τιμής των νέων τύπων εξασφαλίσεων που υποστηρίζουν τα διακριτικά AVAX/USDC Trader Joe LP.

Ο δρόμος μπροστά

Η ομάδα ισχυρίστηκε επίσης ότι το λάθος δεν θα συμβεί ξανά στο μέλλον, λέγοντας: 

«Η ομάδα θα τροποποιήσει τις πρακτικές ελέγχου και ασφάλειας, προκειμένου να διασφαλίσει ότι τέτοιου είδους συμβάντα δεν θα συμβούν στο μέλλον. Αν και αυτό το exploit είναι ένα κακό περιστατικό — δεν είναι ασυνήθιστο τα πρωτόκολλα να αντιμετωπίζουν αυτούς τους τύπους δοκιμών μάχης. Καθώς πρόκειται να επεκταθούμε επιθετικά — θα συνεχίσουμε να επενδύουμε στις δυνατότητές μας και στις στρατηγικές μετριασμού του κινδύνου».

Μιλώντας για το μέλλον του έργου, η ομάδα αποκάλυψε επίσης ότι το Curve pool επανέρχεται σε ισορροπία. Εστιάζουν στις προσπάθειες ανάκτησης, εντοπίζοντας τον χάκερ και προσφέρουν ακόμη και 20% ανταμοιβή White Hat για την επιστροφή των κεφαλαίων, χωρίς καμία ερώτηση. Επίσης, αναπτύσσουν διαφορετικές προσεγγίσεις για την παρακολούθηση των κεφαλαίων που κλάπηκαν προκειμένου να τα ανακτήσουν. 

Αποποίηση ευθυνών: Αυτό το άρθρο παρέχεται μόνο για ενημερωτικούς σκοπούς. Δεν προσφέρεται ή δεν προορίζεται να χρησιμοποιηθεί ως νομική, φορολογική, επενδυτική, οικονομική ή άλλη συμβουλή.