Ang isang flash loan exploit ay naka-target sa Nereus Finance, isang Avalanche-based lending protocol, na nagreresulta sa mga pagkalugi na umaabot sa mahigit $300K.
Avalanche Flash Loan Exploit
Ang USD Coin (USDC) na nagkakahalaga ng $371,000 ay nakuha mula sa Nereus Finance sa pamamagitan ng isang smart contract exploit, na nakuha ng blockchain cybersecurity firm na Certik noong Martes. Di nagtagal, pumasok si Nereus sa damage repair mode at naglathala ng isang malalim na post-mortem ng pag-atake noong Miyerkules. Tila, ang mga umaatake ay gumamit ng $51 milyon na flash loan mula sa Aave upang manipulahin ang presyo ng pool ng AVAX/USDC Trader Joe LP para sa isang bloke. Bilang resulta, nakagawa sila ng utang na NXUSD (ang katutubong token ng Nereus) para sa $998,000 laban sa $508,000 sa seguridad. Matapos mabayaran ang flash loan, pinalitan ng mga salarin ang cash para sa iba't ibang asset gamit ang ilang liquidity pool at inilagay ang mga asset na ito sa kanilang mga pribadong wallet. Nangyari ang pagsasamantala dahil sa Avalanche flash loan, na kawili-wili dahil sa kamakailang mga paratang ng manipulasyon sa merkado laban sa pangunahing kumpanya nito, Ava Labs.
Nag-post-Mortem ang Koponan
Mabilis ding kumilos ang Nereus team sa pamamagitan ng pag-abiso sa nagpapatupad ng batas, pagdadala ng mga propesyonal sa seguridad, at pagsasama-sama ng diskarte sa pagpapagaan. Ni-liquidate at sinuspinde rin nila ang inabusong JLP market. Higit pa rito, gumamit ang team ng mga pondo mula sa sarili nitong treasury para mabayaran ang masamang utang upang maalis ang lahat ng potensyal na panganib sa mga pondo ng user. Ang post-mortem ay nagsiwalat na mayroong "napalampas na hakbang" sa pagkalkula ng presyo ng mga bagong uri ng collateral na sumusuporta sa mga token ng AVAX/USDC Trader Joe LP.
Ang Way Pagpasa ng
Inangkin din ng koponan na ang pagkakamali ay hindi na mauulit pasulong, na sinasabi,
“Aayusin ng team ang aming audit at mga kasanayan sa seguridad upang matiyak na hindi mangyayari ang mga ganitong uri ng kaganapan sa hinaharap. Bagama't isang masamang insidente ang pagsasamantalang ito — karaniwan na para sa mga protocol na harapin ang mga ganitong uri ng mga pagsubok sa labanan. Habang kami ay agresibong palawakin — patuloy kaming mamumuhunan sa aming mga kakayahan at mga diskarte sa pagpapagaan ng panganib."
Sa pakikipag-usap tungkol sa hinaharap ng proyekto, inihayag din ng koponan na ang Curve pool ay bumalik sa balanse. Nakatuon sila sa mga pagtatangka sa pagbawi sa pamamagitan ng pagsubaybay sa hacker at kahit na nag-aalok ng 20% White Hat na reward para sa pagbabalik ng mga pondo, nang walang anumang tanong. Gumagawa din sila ng iba't ibang mga diskarte upang masubaybayan ang mga pondo na ninakaw upang mabawi ang mga ito.
Pagwawaksi: Ang artikulong ito ay ibinigay para sa mga layuning pang-impormasyon lamang. Hindi ito inaalok o inilaan upang magamit bilang ligal, buwis, pamumuhunan, pampinansyal, o iba pang payo.
Pinagmulan: https://cryptodaily.co.uk/2022/09/avalanche-based-protocol-loses-371-k-in-flash-loan-attack