Эксплоит, связанный с непроверенными кредитными контрактами на блокчейне Base, привел к краже около 1 млн долларов.
Инцидент, который длился несколько часов, был описан компанией по безопасности блокчейна Cyvers Alerts в сообщении X 25 октября.
Злоумышленник использовал уязвимость в смарт-контрактах, связанных с Wrapped Ether (WETH), успешно манипулировал ценой, а затем выкачал средства.
Источник: Cyvers Alerts.
Эксплоит манипулирования ценами
Первоначальная подозрительная транзакция злоумышленника извлекла $993 534 из непроверенных кредитных контрактов Wrapped Ether (WETH) на блокчейне Base.
Злоумышленник перевел большую часть украденных средств в сеть Ethereum, а затем внес средства на $202 549 в ориентированный на конфиденциальность сервис Tornado Cash (TORN). Дополнительные средства на общую сумму $455 127 были получены с помощью того же эксплойта.
В письменном Q&A-интервью Хакан Унал, старший руководитель SOC в Cyvers Alerts, объяснил уязвимость, использованную при атаке:
«Оракул, используемый этими контрактами, не был надежным, полагаясь только на одну пару с ограниченной ликвидностью ~$400 тыс., что делало его уязвимым к колебаниям цен, которыми можно было манипулировать».
Последствия для безопасности и предотвращение атак
Эксплуатация непроверенных кредитных контрактов выявляет более широкие риски, связанные с платформами децентрализованного финансирования (DeFi), которые не реализуют надежные меры безопасности.
Унал сказал, что для предотвращения подобных атак в будущем может быть использован «более надежный, диверсифицированный оракул с более высокой ликвидностью, чтобы избежать манипулирования ценами», особенно «для таких активов, как WETH».
«Усиленная комплексная проверка кредитных контрактов, особенно в отношении используемых оракулов, может снизить эти риски», — пояснил он.
Кто понесет ответственность?
Унал сообщил, что «злоумышленнику удалось скрыться» с украденными средствами, используя «уязвимость манипулирования ценами».
«Ответственность, скорее всего, лежит на организации, управляющей непроверенными кредитными договорами, а также на тех, кто ответственен за выбор недостаточно безопасного оракула для проверки цен», — предположил он.
Злоумышленник еще не идентифицирован и успешно скрылся с украденными средствами.
Этот инцидент подчеркивает необходимость улучшения протоколов безопасности платформ DeFi для защиты средств пользователей и обеспечения проверки контрактов, чтобы предотвратить возникновение подобных событий.