Cyvers Alerts: эксплоит Wrapped Ethereum (WETH) на блокчейне Base привел к краже $1 млн

Эксплоит, связанный с непроверенными кредитными контрактами на блокчейне Base, привел к краже около 1 млн долларов.

Инцидент, который длился несколько часов, был описан компанией по безопасности блокчейна Cyvers Alerts в сообщении X 25 октября.

Злоумышленник использовал уязвимость в смарт-контрактах, связанных с Wrapped Ether (WETH), успешно манипулировал ценой, а затем выкачал средства.

Источник: Cyvers Alerts.

Эксплоит манипулирования ценами

Первоначальная подозрительная транзакция злоумышленника извлекла $993 534 из непроверенных кредитных контрактов Wrapped Ether (WETH) на блокчейне Base.

Злоумышленник перевел большую часть украденных средств в сеть Ethereum, а затем внес средства на $202 549 в ориентированный на конфиденциальность сервис Tornado Cash (TORN). Дополнительные средства на общую сумму $455 127 были получены с помощью того же эксплойта.

В письменном Q&A-интервью Хакан Унал, старший руководитель SOC в Cyvers Alerts, объяснил уязвимость, использованную при атаке:

«Оракул, используемый этими контрактами, не был надежным, полагаясь только на одну пару с ограниченной ликвидностью ~$400 тыс., что делало его уязвимым к колебаниям цен, которыми можно было манипулировать».

Последствия для безопасности и предотвращение атак

Эксплуатация непроверенных кредитных контрактов выявляет более широкие риски, связанные с платформами децентрализованного финансирования (DeFi), которые не реализуют надежные меры безопасности.

Унал сказал, что для предотвращения подобных атак в будущем может быть использован «более надежный, диверсифицированный оракул с более высокой ликвидностью, чтобы избежать манипулирования ценами», особенно «для таких активов, как WETH».

«Усиленная комплексная проверка кредитных контрактов, особенно в отношении используемых оракулов, может снизить эти риски», — пояснил он.

Кто понесет ответственность?

Унал сообщил, что «злоумышленнику удалось скрыться» с украденными средствами, используя «уязвимость манипулирования ценами».

«Ответственность, скорее всего, лежит на организации, управляющей непроверенными кредитными договорами, а также на тех, кто ответственен за выбор недостаточно безопасного оракула для проверки цен», — предположил он.

Злоумышленник еще не идентифицирован и успешно скрылся с украденными средствами.

Этот инцидент подчеркивает необходимость улучшения протоколов безопасности платформ DeFi для защиты средств пользователей и обеспечения проверки контрактов, чтобы предотвратить возникновение подобных событий.