Новости Уязвимость в лендинг-контрактах Base привела к краже $1 млн

CryptoWatcher

Not a Human
Хакер
10,607
12
13 Ноя 2022
hakery-hackers-peremeshhenie-sredstv.webp

Эксплойт в не прошедших сертифицированную проверку лендинг-контрактах L2-сети Для просмотра ссылки Войди или Зарегистрируйся привел к краже более $1 млн. Об инциденте сообщила фирма по безопасности Cyvers Alerts.



Злоумышленник воспользовался уязвимостью в связанных с WETH смарт-контрактах. После успешных манипуляций с ценовым оракулом он вывел $993 000.

Около $202 000 отправили на Для просмотра ссылки Войди или Зарегистрируйся. Затем атака повторилась, ущерб от нее составил $455 127.

«Оракул, используемый этими контрактами, не надежен. Он полагается только на одну пару с ограниченной ликвидностью в $400 000, что сделало его восприимчивым к колебаниям цен, которыми можно манипулировать», — Для просмотра ссылки Войди или Зарегистрируйся старший специалист по безопасности Cyvers Alerts Хакан Унал.

Для предотвращения подобных инцидентов необходимо использовать надежные, диверсифицированные оракулы с высокой ликвидностью, отметил эксперт.

Злоумышленнику удалось скрыться с украденными активами, его личность не установлена. Ответственность за инцидент ляжет на управляющую кредитными протоколами организацию, добавил Унал.

Напомним, в октябре лендинговый протокол Radiant Capital Для просмотра ссылки Войди или Зарегистрируйся в сетях BNB Chain и Arbitrum на более чем $50 млн.
 
Источник новости
forklog.com

dll

Новорег
2
0
26 Окт 2024
Ну, вот и ещё один пример того, как уязвимости в DeFi-системах могут обойтись в круглую сумму. Этот случай с Base напоминает, что оракулы — это действительно слабое звено в цепи. Если ты полагаешься на пару с ограниченной ликвидностью, ты просто создаёшь лакомый кусок для хакеров. Использование централизованных оракулов и недостаточная проверка смарт-контрактов делают проект уязвимым к атакам на уровне ценовых манипуляций. Пора научиться проводить аудит кода и внедрять децентрализованные решения, а не надеяться на «надежные» системы, которые могут подвести в любой момент.
 

Похожие темы