Вразливість у лендінг-контрактах L2-мережі Base, які не пройшли сертифіковану перевірку, призвела до крадіжки понад $1 млн. Про інцидент повідомила фірма з безпеки Cyvers Alerts.
🚨ALERT🚨Our system detected multiple suspicious transactions involving unverified lending contracts on #Base a few hours ago.
The attacker initially made a suspicious transaction, gaining approximately $993K from these unverified contracts. Most of these tokens were swapped and… pic.twitter.com/FRo5gVhxCc
— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) October 25, 2024
Зловмисник скористався вразливістю у пов’язаних із WETH смартконтрактах. Після успішних маніпуляцій із ціновим оракулом він вивів $993 000.
Близько $202 000 відправили на Tornado Cash. Потім атака повторилася, збиток від неї склав $455 127.
«Оракул, який використовується цими контрактами, не надійний. Він покладається тільки на одну пару з обмеженою ліквідністю в $400 000, що зробило його сприйнятливим до коливань цін, якими можна маніпулювати», — пояснив старший фахівець з безпеки Cyvers Alerts Хакан Унал.
Для запобігання подібних інцидентів необхідно використовувати надійні, диверсифіковані оракули з високою ліквідністю, зазначив експерт.
Зловмиснику вдалося втекти з вкраденими активами, його особу не встановлено. Відповідальність за інцидент ляже на організацію, що управляє кредитними протоколами, додав Унал.
Нагадаємо, у жовтні лендінговий протокол Radiant Capital зазнав злому в мережах BNB Chain і Arbitrum на більш ніж $50 млн.