- El mercado Wise Lending perdió aproximadamente 464.000 dólares por un incidente de piratería informática.
- PeckShield atribuyó el incidente a una lógica contable defectuosa con un problema de precisión para drenar los fondos del mercado.
- El explotador infló el precio de la participación en un mercado casi vacío y, a continuación, tomó prestados la mayoría de los fondos en los mercados de préstamos.
Wise Lending, una aplicación de préstamos Web3 y agregador de rendimientos, es la última víctima de un exploit, y podría decirse que el primer caso en 2024 después de que un explotador ejecutara un ataque de préstamo flash.
Wise Lending pierde 177 ETH a manos de un atacante de préstamos flash
Wise Lending fue explotado por 177 ETH, por un valor aproximado de 464.000 dólares al cambio actual. Según la empresa de seguridad blockchain y la empresa de análisis de datos PeckShield, la lógica de contabilidad de participaciones del agregador estaba defectuosa con un problema de precisión para drenar los fondos del mercado.
El mercado @Wise_Lending fue atacado hoy, resultando en una pérdida de ~177 ETH (~$464K).
- PeckShield Inc. (@peckshield) 12 de enero de 2024
Nuestro análisis inicial muestra que la lógica de la contabilidad de participación es defectuosa con un problema de precisión para drenar los fondos del mercado.
Aquí está el hack tx relacionado: https://t.co/aadbYIjX9o pic.twitter.com/FEtWW1wzKH
En concreto, el malhechor aprovechó un ataque de préstamo flash, un mecanismo utilizado a menudo para manipular los precios de los oráculos.
El explotador se aprovechó de un mercado casi vacío para inflar el precio de las participaciones. Una vez inflado el precio de la participación, tomó prestados la mayoría de los fondos en los mercados de préstamos.
Detalles del ataque
El explotador utilizó un contrato no verificado cuya dirección terminaba en ... "d82c" para ejecutar el exploit, transfiriendo múltiples tokens al contrato, según muestran los datos de Etherscan. Entre el botín había 9.000 dólares de USD Coin(USDC), 2.000 dólares de Tether (USDT), 5.000 dólares de Dai (DAI), 18.51 Wrapped Ether (WETH) por valor de 47.694 dólares, y otros múltiples tokens asociados a Pendle Finance.
El explotador tomó prestados 1.110 tokens Lido Staked Ether (stETH) por valor de aproximadamente 2.9 millones de dólares del protocolo de préstamo Aave(AAVE) como parte del exploit.
El incidente fue informado por primera vez por @spreekaway, indicando: "Parece que Wise Lending explotó por ~170 ETH", y el ataque tuvo lugar a las 7:29 pm UTC. Según Spreek, el exploit se debió a un nuevo token derivado de Pendle Finance.
Parece que Wise Lending explotó por ~170 eth pic.twitter.com/FKivuNIKZV
- Spreek (@spreekaway) 12 de enero de 2024
Sin embargo, un investigador de amenazas, llamado @officer_cia en X, dijo que el ataque puede haber sido causado por una oscilación del 7% en el precio entre stETH y ETH dentro de un grupo en particular. Esto, en su opinión, se produjo como resultado del préstamo preliminar de stETH de AVE v2.
Parece que Pendle tuvo una oscilación del 7% entre stETH y ETH debido al préstamo flash de AAVE v2 stETH.
- Notas del Oficial (@officer_cia) 12 de enero 2024
Wise fue drenado en consecuencia (probablemente un cambio fijo de 1:1 en algún lugar).
Fuente: https://t.co/xNR62SELnh
Info by @charliemktplace ⬆️ pic.twitter.com/9oVBL3x0Of