En flash-lånsutnyttelse rettet mot Nereus Finance, en Avalanche-basert utlånsprotokoll, som resulterte i tap på over $300 XNUMX.
Avalanche Flash Loan Exploit
USD Coin (USDC) verdt 371,000 51 dollar ble fjernet fra Nereus Finance gjennom en smart kontraktsutnyttelse, som blockchain-cybersikkerhetsfirmaet Certik fanget på tirsdag. Like etter gikk Nereus inn i skadereparasjonsmodus og publiserte en dyptgående post mortem av angrepet onsdag. Tilsynelatende utnyttet angriperne et flashlån på $998,000 millioner fra Aave for å manipulere AVAX/USDC Trader Joe LP-poolprisen for en enkelt blokk. Som et resultat klarte de å generere en gjeld på NXUSD (det opprinnelige symbolet til Nereus) for $508,000 mot $XNUMX i sikkerhet. Etter at flash-lånet var tilbakebetalt, byttet gjerningsmennene ut kontantene med forskjellige eiendeler ved hjelp av en rekke likviditetspooler og satte disse eiendelene inn i sine private lommebøker. Utnyttelsen skjedde på grunn av Avalanche flash-lånet, som er interessant i lys av de nylige anklagene om markedsmanipulasjon mot morselskapet, Ava Labs.
Teamet gjør post-mortem
Nereus-teamet handlet også raskt ved å varsle politi, hente inn sikkerhetspersonell og sette sammen en avbøtende strategi. De likviderte og suspenderte også det misbrukte JLP-markedet. Videre brukte teamet midler fra sin egen statskasse til å betale ned den dårlige gjelden for å eliminere alt risikopotensial mot brukermidler. Obduksjonen avslørte at det var et "glipp av trinn" i prisberegningen av de nye sikkerhetstypene som støtter AVAX/USDC Trader Joe LP-tokenene.
Veien forover
Teamet hevdet også at feilen ikke ville skje igjen fremover, og sa:
"Teamet vil endre revisjons- og sikkerhetspraksisen vår for å sikre at denne typen hendelser ikke skjer i fremtiden. Selv om denne utnyttelsen er en dårlig hendelse - er det ikke uvanlig at protokoller møter denne typen kamptester. Når vi er i ferd med å ekspandere aggressivt – vil vi fortsette å investere i våre evner og risikoreduserende strategier.»
Når vi snakket om fremtiden til prosjektet, avslørte teamet også at Curve-bassenget er tilbake i balanse. De fokuserer på gjenopprettingsforsøk ved å spore opp hackeren og til og med tilby en 20% White Hat-belønning for retur av midlene, uten noen spørsmål. De utvikler også forskjellige tilnærminger for å spore midlene som ble stjålet for å få dem tilbake.
Ansvarsfraskrivelse: Denne artikkelen er kun gitt for informasjonsformål. Det tilbys eller er ikke ment å brukes som juridisk, skatt, investering, økonomisk eller annen rådgivning.
Kilde: https://cryptodaily.co.uk/2022/09/avalanche-based-protocol-loses-371-k-in-flash-loan-attack