Resupply, децентралізований стейблкоїн протокол, пов'язаний з основними гравцями DeFi Convex Finance та Yearn Finance, зазнав експлуатації на суму 9,5 мільйона доларів.
Фірми з безпеки блокчейну, зокрема BlockSec Phalcon та CertiK, забили тривогу, детально описавши атаку, що використовує маніпуляції з обмінними курсами на ринку з низькою ліквідністю.
Деталі експлуатації
Згідно з Phalcon, зловмисник штучно завищив ціну токена cvcrvUSD через цілеспрямовані "пожертвування" в надзвичайно тонкий або порожній ринок. CertiK підтвердив цю інформацію, додавши, що хакер взяв у флеш-кредит $4,000 USDC від Morpho, щоб розпочати експлуатацію.
Вони, як повідомляється, використали маніпульовану ціну як знаменник у розрахунку обмінного курсу контракту, і оскільки система використовувала цілочисельне ділення, це дозволило їм округлити ставку до нуля.
Після цього, як стверджують, зловмисник позичив майже 10 мільйонів доларів у токенах reUSD проти незначної кількості забезпечення, близько одного вей (wei) cvcrvUSD, повністю обійшовши будь-які перевірки платоспроможності. Досягнувши успіху, вони швидко обміняли токени через Curve і Uniswap на USDC та обгорнуту ефір (WETH), отримавши чистий прибуток приблизно в 9.5 мільйонів доларів.
Додатковий аналіз від PeckShield вказав, що точкою входу для експлойту була транзакція на Cow Swap з 2 ETH, яка потім була перенаправлена в Tornado Cash для анонімності. Після проходження через міксер, зловмисник вніс кошти в контракт експлойту, перш ніж використати його для активації вразливості, яка дозволила їм позичити та вилучити приблизно 1,581 ETH.
У дописі на X CertiK зазначив, що експлойтер перемістив близько 5,56 мільйона доларів на одну адресу та 4 мільйони доларів на іншу, консолідувавши кошти після експлойту.
Resupply підтвердив витік через свій офіційний акаунт у X. Платформа оголосила, що призупинила постраждалий ринок, але заявила, що інші операції продовжаться в нормальному режимі. Вона також зазначила, що надасть повний звіт у наступні кілька днів.
Ширший патерн
Цей останній напад стався через тиждень після зламу іранської криптобіржі Nobitex на суму 49 мільйонів доларів, що був приписаний про-ізраїльській хакерській групі "Gonjeshke Darande."
На початку травня децентралізована біржа Cetus на базі Sui зазнала значної атаки, втратила близько 223 мільйонів доларів. У цьому інциденті невідомий злочинець, за повідомленнями, отримав контроль над усіма ліквідними пулом, номінованими в SUI, на Cetus перед тим, як їх вичерпати.
Незабаром після атаки, за допомогою валідаторів Sui, Cetus вдалося заморозити два гаманці, що містили близько 162 мільйонів доларів США у викрадених криптовалютах. Проте злодій все ще зміг перенести майже 60 мільйонів доларів США у токенах до Ethereum, де він обміняв їх на ETH. DEX з тих пір розпочав плани щодо компенсації користувачів, які постраждали від атаки.
Водночас, недобросовісні учасники все більше націлюються на надійні платформи інформації та даних про криптовалюти. Колишній CEO Binance Чанпенг Чжао нещодавно підкреслив цю тенденцію, вказуючи на швидкі атаки на CoinMarketCap та Cointelegraph для розгортання фішингових спливаючих вікон, що крадуть кошти з гаманців, що стало відступом від більш звичних прямих спроб зламу криптобірж.
Переглянути оригінал
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
Протокол стейблкоїнів зазнав експлуатації на $9.5M
Resupply, децентралізований стейблкоїн протокол, пов'язаний з основними гравцями DeFi Convex Finance та Yearn Finance, зазнав експлуатації на суму 9,5 мільйона доларів.
Фірми з безпеки блокчейну, зокрема BlockSec Phalcon та CertiK, забили тривогу, детально описавши атаку, що використовує маніпуляції з обмінними курсами на ринку з низькою ліквідністю.
Деталі експлуатації
Згідно з Phalcon, зловмисник штучно завищив ціну токена cvcrvUSD через цілеспрямовані "пожертвування" в надзвичайно тонкий або порожній ринок. CertiK підтвердив цю інформацію, додавши, що хакер взяв у флеш-кредит $4,000 USDC від Morpho, щоб розпочати експлуатацію.
Вони, як повідомляється, використали маніпульовану ціну як знаменник у розрахунку обмінного курсу контракту, і оскільки система використовувала цілочисельне ділення, це дозволило їм округлити ставку до нуля.
Після цього, як стверджують, зловмисник позичив майже 10 мільйонів доларів у токенах reUSD проти незначної кількості забезпечення, близько одного вей (wei) cvcrvUSD, повністю обійшовши будь-які перевірки платоспроможності. Досягнувши успіху, вони швидко обміняли токени через Curve і Uniswap на USDC та обгорнуту ефір (WETH), отримавши чистий прибуток приблизно в 9.5 мільйонів доларів.
Додатковий аналіз від PeckShield вказав, що точкою входу для експлойту була транзакція на Cow Swap з 2 ETH, яка потім була перенаправлена в Tornado Cash для анонімності. Після проходження через міксер, зловмисник вніс кошти в контракт експлойту, перш ніж використати його для активації вразливості, яка дозволила їм позичити та вилучити приблизно 1,581 ETH.
У дописі на X CertiK зазначив, що експлойтер перемістив близько 5,56 мільйона доларів на одну адресу та 4 мільйони доларів на іншу, консолідувавши кошти після експлойту.
Resupply підтвердив витік через свій офіційний акаунт у X. Платформа оголосила, що призупинила постраждалий ринок, але заявила, що інші операції продовжаться в нормальному режимі. Вона також зазначила, що надасть повний звіт у наступні кілька днів.
Ширший патерн
Цей останній напад стався через тиждень після зламу іранської криптобіржі Nobitex на суму 49 мільйонів доларів, що був приписаний про-ізраїльській хакерській групі "Gonjeshke Darande."
На початку травня децентралізована біржа Cetus на базі Sui зазнала значної атаки, втратила близько 223 мільйонів доларів. У цьому інциденті невідомий злочинець, за повідомленнями, отримав контроль над усіма ліквідними пулом, номінованими в SUI, на Cetus перед тим, як їх вичерпати.
Незабаром після атаки, за допомогою валідаторів Sui, Cetus вдалося заморозити два гаманці, що містили близько 162 мільйонів доларів США у викрадених криптовалютах. Проте злодій все ще зміг перенести майже 60 мільйонів доларів США у токенах до Ethereum, де він обміняв їх на ETH. DEX з тих пір розпочав плани щодо компенсації користувачів, які постраждали від атаки.
Водночас, недобросовісні учасники все більше націлюються на надійні платформи інформації та даних про криптовалюти. Колишній CEO Binance Чанпенг Чжао нещодавно підкреслив цю тенденцію, вказуючи на швидкі атаки на CoinMarketCap та Cointelegraph для розгортання фішингових спливаючих вікон, що крадуть кошти з гаманців, що стало відступом від більш звичних прямих спроб зламу криптобірж.