کلاهبرداران یک قرارداد هوشمند سفارشی را برای استفاده از وام 51 میلیون دلاری برای دستکاری یک بلوک AVAX/USDC Trader Joe LP به کار گرفتند.
Nereus Finance، یک پروتکل وام دهی مبتنی بر بهمن، قربانی یک هک پیچیده شده است که از یک سوء استفاده قرارداد هوشمند برای دادن 371000 دلار سکه USD (USDC) به کاربران استفاده کرد.
شرکت امنیت سایبری بلاک چین CertiK یکی از اولین کسانی بود که یک سوء استفاده را در 6 سپتامبر شناسایی کرد و این حملات را به صرافی غیرمتمرکز Trader Joe و بازارساز خودکار Curb Finance مرتبط کرد. این نشان میدهد که بر استخر نقدینگی Nereus تأثیر گذاشته است.
CertiK همچنین اشاره کرد که خود پروتکل اساسی تحت تأثیر قرار خواهد گرفت، اما Curve Finance از طریق توییتر در سپتامبر پاسخ داد. ممکن است به معنای “پذیرش” باشد. به نظر می رسد فقط @nereusfinance و دارایی های آن تحت تأثیر قرار می گیرند. ”
در 7 سپتامبر، Nereus Finance تجزیه و تحلیل دقیق پس از مرگ را از این حادثه منتشر کرد که نشان میداد «استثمارگران» از وام 51 میلیون دلاری Aave برای دسترسی به استخرهای تک بلوکی AVAX/USDC Trader Joe LP (JLP) استفاده کردند. .
ما یک پس از مرگ در مورد حادثه دیروز NXUSD منتشر کرده ایم. https://t.co/ADhu6PagP2
متشکرم @Pecshield @CertiK– Nereus Finance (@nereusfinance) 7 سپتامبر 2022
در نتیجه، هکرهای ناشناس توانستند 998000 توکن بومی Nereus NXUSD را در مقابل 508000 دلار وثیقه ضرب کنند. آنها سپس توانستند این سرمایه را با سایر دارایی ها از طریق استخرهای نقدینگی مختلف مبادله کنند و پس از بازپرداخت وام فوری، سود خالص 371406 دلاری کسب کنند.
این حادثه با ایجاد 500000 دلار “بدهی بد” NXUSD در پروتکل NXUSD به پایان رسید.
تیم Nereus می گوید که آنها به سرعت برای اصلاح این وضعیت اقدام کردند. پس از مشورت با کارشناسان امنیتی، تدوین یک طرح کاهش و اطلاع رسانی به مجریان قانون، بازار JLP مورد سوء استفاده را منحل و به حالت تعلیق درآوردیم.
طبق گزارشات، بدهی بد با استفاده از NXUSD از خزانه داری تیم پرداخت شده است.
به گفته Nereus، این اکسپلویت نتیجه یک «گام از دست رفته» در محاسبه قیمت بود که به آن فرصتی برای بهره برداری می داد. با این حال، تاکید کرد که “هیچ وجه کاربری در معرض خطر نبود و NXUSD همچنان بیش از حد وثیقه است” و “پروتکلهای وام و استقراض تحت تأثیر این سوء استفاده قرار نگرفتند”.
Nereus همچنین مطمئن است که سوء استفاده های مشابه برای بار دوم رخ نخواهد داد، و این تیم “برنامه ریزی برای اصلاح شیوه های حسابرسی و امنیتی ما برای جلوگیری از وقوع این نوع رویداد در آینده را دارد.”
این اکسپلویت یک حادثه بد است، اما برای پروتکلها غیرعادی نیست که با این نوع آزمایش رزمی روبرو شوند.»
در زمان نگارش این مقاله، تیم Nereus در تلاش برای شناسایی هکرها و ردیابی وجوه است، و 20٪ جایزه کلاه سفید برای بازگشت وجوه ارائه می دهد (بدون سوال).
مربوط: استیبل کوین NIRV مبتنی بر Solana با 3.5 میلیون دلار اکسپلویت 85 درصد کاهش یافت
با وجود این سوءاستفاده از وام فلش اخیر و چندین رویداد قابل توجه در طول سال، گزارش ماهانه هشدار Skynet آگوست 2022 CertiK که در 2 سپتامبر منتشر شد، نشان میدهد که این نوع از It ادعا میکند که حملات را به میزان قابل توجهی کاهش داده است.
در مقایسه با ماه قبل، حملات وام های فلش در ماه آگوست 95 درصد کاهش یافت و مجموع زیان را به 745244 دلار رساند که دومین پایین ترین رقم در سال است.
زیان سوء استفاده از وام های فوری در ماه فوریه به پایین ترین حد خود یعنی 200000 دلار رسید.
نویسنده: Stephen Katte
