Эксплойт в не прошедших сертифицированную проверку лендинг-контрактах L2-сети Base привел к краже более $1 млн. Об инциденте сообщила фирма по безопасности Cyvers Alerts.
🚨ALERT🚨Our system detected multiple suspicious transactions involving unverified lending contracts on #Base a few hours ago.The attacker initially made a suspicious transaction, gaining approximately $993K from these unverified contracts. Most of these tokens were swapped and… pic.twitter.com/FRo5gVhxCc— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) October 25, 2024
Злоумышленник воспользовался уязвимостью в связанных с WETH смарт-контрактах. После успешных манипуляций с ценовым оракулом он вывел $993 000.
Около $202 000 отправили на Tornado Cash. Затем атака повторилась, ущерб от нее составил $455 127.
«Оракул, используемый этими контрактами, не надежен. Он полагается только на одну пару с ограниченной ликвидностью в $400 000, что сделало его восприимчивым к колебаниям цен, которыми можно манипулировать», — объяснил старший специалист по безопасности Cyvers Alerts Хакан Унал.
Для предотвращения подобных инцидентов необходимо использовать надежные, диверсифицированные оракулы с высокой ликвидностью, отметил эксперт.
Злоумышленнику удалось скрыться с украденными активами, его личность не установлена. Ответственность за инцидент ляжет на управляющую кредитными протоколами организацию, добавил Унал.
Напомним, в октябре лендинговый протокол Radiant Capital подвергся взлому в сетях BNB Chain и Arbitrum на более чем $50 млн.
