crypto.ru
Иследователи компании по безопасности блокчейнов Beosin рассказали об очередной хакерской атаке. На сей раз пострадал Zunami Protocol, который позволяет своим пользователям оптимизировать доход с помощью UZD, zETH и омнипулов для Curve Finance. Неизвестный киберпреступник сумел совершить эксплойт в сети Ethereum и использовал стратегию с манипулированием цен. В результате, клиенты понесли убытки в размере $2,1 млн.
По словам исследователей из Beosin, основной причиной была уязвимость, из-за которой расчет цены пула ликвидности (LP) зависел от баланса токена CRV в самом контракте и обменного курса CRV к wETH в пуле wETH/CRV. Эксперты подчеркнули, что «сначала хакер занял 6 811 ETH в виде флэш-кредита, а затем использовал 300 ETH для обмена на 84 zETH. После чего он обменял 11 ETH на 35 293 CRV и перевел их в контракт sEthFraxEthCurveConvex для управления балансом CRV».
Затем злоумышленник использовал 406 ETH, совершив многократные обменные операции с CRV в пуле wETH/CRV, искуственно завысив тем самым стоимость токена примерно в 10 раз. «Расчет стоимости zETH (LP) зависит как от цены CRV, так и от обменного курса, рассчитанного на основе балансов CRV и ETH в контракте sEthFraxEthCurveConvex», — отметили исследователи Beosin.
Злоумышленник манипулировал ценой CRV и балансом данного токена в пуле, увеличив итоговое значение функции _assetPriceCached. Таким образом, находящиеся в balanceOf 84 zETH были трансформированы в 221 zETH. Злоумышленник обменял их на 389 ETH, погасил флэш-кредит в размере 6 811 ETH, а также комиссию. Выведя прибыль, он отправил украденные средства в микшер Tornado Cash.
Напомним, что в последние время взломы криптовалютных проектов обрели огромные масштабы. Хакеры украли около $2 млрд только за 2022 года. Специалисты по безопасности утверждали, что атаки с использованием флеш-кредитов являются самым распространенным методом эксплойта протоколов децентрализованных финансов (DeFi).