Lavinebaseret protokol taber 371 $ i flashlånsangreb

Et flashlån var rettet mod Nereus Finance, en lavinebaseret låneprotokol, hvilket resulterede i tab på over 300 USD.

Avalanche Flash lån udnyttelse

USD Coin (USDC) til en værdi af $371,000 blev frataget Nereus Finance gennem en smart kontraktudnyttelse, som blockchain-cybersikkerhedsfirmaet Certik fangede tirsdag. Kort efter gik Nereus i skadesreparationstilstand og offentliggjorde en dybdegående obduktion af angrebet onsdag. Tilsyneladende udnyttede angriberne et flashlån på $51 millioner fra Aave til at manipulere AVAX/USDC Trader Joe LP-puljeprisen for en enkelt blok. Som et resultat var de i stand til at generere en gæld på NXUSD (den oprindelige token af ​​Nereus) for $998,000 mod $508,000 i sikkerhed. Efter at flashlånet var tilbagebetalt, byttede gerningsmændene kontanterne ud med forskellige aktiver ved hjælp af en række likviditetspuljer og satte disse aktiver ind i deres private tegnebøger. Udnyttelsen skete på grund af Avalanche flash-lånet, som er interessant i lyset af de seneste beskyldninger om markedsmanipulation mod moderselskabet, Ava Labs.

Holdet laver post-mortem

Nereus-teamet handlede også hurtigt ved at underrette retshåndhævelsen, bringe sikkerhedspersonale ind og sammensætte en afbødningsstrategi. De likviderede og suspenderede også det misbrugte JLP-marked. Derudover brugte holdet midler fra sin egen statskasse til at betale den dårlige gæld for at eliminere alt risikopotentiale mod brugermidler. Obduktionen afslørede, at der var et "forpasset trin" i prisberegningen af ​​de nye sikkerhedsstillelsestyper, der understøtter AVAX/USDC Trader Joe LP-tokens.

Vejen frem

Holdet hævdede også, at fejlen ikke ville ske igen fremover, idet de sagde: 

"Teamet vil ændre vores revisions- og sikkerhedspraksis for at sikre, at disse typer begivenheder ikke forekommer i fremtiden. Selvom denne udnyttelse er en dårlig hændelse - er det ikke ualmindeligt, at protokoller står over for disse typer kamptests. Da vi er ved at ekspandere aggressivt - vil vi fortsætte med at investere i vores kapaciteter og risikobegrænsende strategier."

Når vi taler om projektets fremtid, afslørede holdet også, at Curve-puljen er tilbage i balance. De fokuserer på gendannelsesforsøg ved at opspore hackeren og endda tilbyde en 20% White Hat-belønning for tilbagebetaling af midlerne uden at stille spørgsmål. De udvikler også forskellige tilgange til at spore de midler, der blev stjålet, for at få dem tilbage. 

Ansvarsfraskrivelse: Denne artikel gives kun til informationsformål. Det tilbydes eller er ikke beregnet til at blive brugt som juridisk, skat, investering, finansiel eller anden rådgivning.