Что произошло? 21 июля децентрализованный протокол Conic Finance столкнулся с хакерской атакой, в результате которой проекту был нанесен ущерб в размере 1700 ETH (более 3,2 млн долларов). Неизвестный злоумышленник использовал уязвимость для манипулирования ценовым оракулом. Об этом сообщил директор по информационной безопасности компании BlockSec Мэтью Цзян.
Новость на сайте The Block
DeFi-протокол Conic Finance предназначен для распределения средств на децентрализованной бирже (DEX) Curve с использованием пулов ликвидности, которыми она управляет.
Что еще известно? При подобных атаках используется возможность многократного вызова функции в рамках одной транзакции до завершения первоначального вызова функции. Этот механизм позволяет злоумышленнику вывести больше средств, чем должно быть заложено в алгоритме. В ходе инцидента хакер взял флэш-кредит в размере 20 000 stETH, эти средства были направлены в протокол Conic, где путем манипуляций с ценовым оракулом прибыль от продажи была увеличена.
Согласно предварительным выводам команды Conic Finance, основной причиной стала атака повторного входа, которая стала возможна из-за неверного считывания адресов в реестре ETH-пулов Curve V2. Разработчики занимаются исправлением затронутого контракта. Они отметили, что эксплойт не может быть реализован в ETH-пуле Omni, а вывод средств безопасен.
По данным аналитиков компании в сфере кибербезопасности PeckShield, основная причина кроется в уязвимости нового контракта CurveLPORacleV2.
Криптолендинговый протокол Geist Finance объявил о закрытии из-за взлома Multichain
Работа контрактов платформы была приостановлена еще 6 июля
Читать дальше
Ранее DeFi-протокол Euler Finance потерял более 175 млн долларов в результате атаки флэш-кредитования. При этом в компании по кибербезопасности CertiK назвали большую сумму ущерба. По их данным, злоумышленники вывели ~196 млн долларов, включая почти 43 млн в DAI и 93 800 в обернутых Ethereum (wETH).
В феврале стейблкоин USP потерял привязку к доллару после взлома DeFi-протокола Platypus. Хакеры использовали флэш-кредиты на токены Avalanche (AVAX). Позднее подозреваемых во взломе задержали во Франции.