Ein Flash-Darlehen-Exploit zielte auf Nereus Finance ab, ein Avalanche-basiertes Kreditprotokoll, was zu Verlusten in Höhe von über 300 US-Dollar führte.
Avalanche Flash Loan Exploit
USD Coin (USDC) im Wert von 371,000 $ wurde von Nereus Finance durch einen Smart-Contract-Exploit abgezapft, den das Blockchain-Cybersicherheitsunternehmen Certik am Dienstag entdeckte. Bald darauf wechselte Nereus in den Schadensreparaturmodus und veröffentlichte am Mittwoch eine ausführliche Obduktion des Angriffs. Anscheinend nutzten die Angreifer einen Flash-Kredit von Aave in Höhe von 51 Millionen US-Dollar, um den Poolpreis des AVAX/USDC Trader Joe LP für einen einzelnen Block zu manipulieren. Infolgedessen konnten sie eine Schuld von NXUSD (dem nativen Token von Nereus) für 998,000 $ gegen die 508,000 $ an Sicherheit generieren. Nach der Rückzahlung des Flash-Darlehens tauschten die Täter das Bargeld über mehrere Liquiditätspools gegen andere Vermögenswerte und schoben diese Vermögenswerte in ihre privaten Geldbörsen. Der Exploit geschah aufgrund des Avalanche-Flash-Darlehens, was angesichts der jüngsten Vorwürfe der Marktmanipulation gegen seine Muttergesellschaft interessant ist. Ava Labs.
Team macht Post-Mortem
Das Nereus-Team handelte auch schnell, indem es die Strafverfolgungsbehörden benachrichtigte, Sicherheitsexperten hinzuzog und eine Strategie zur Schadensbegrenzung zusammenstellte. Sie liquidierten und suspendierten auch den missbrauchten JLP-Markt. Darüber hinaus hat das Team zur Tilgung der Forderungsausfälle Mittel aus der eigenen Kasse verwendet, um jegliches Risikopotenzial gegenüber Nutzergeldern zu eliminieren. Die Obduktion ergab, dass es bei der Preisberechnung der neuen Sicherheitentypen, die die AVAX/USDC Trader Joe LP-Token unterstützen, einen „verpassten Schritt“ gab.
Der Weg nach vorn
Das Team behauptete auch, dass der Fehler in Zukunft nicht mehr auftreten würde, und sagte:
„Das Team wird unsere Audit- und Sicherheitspraktiken ändern, um sicherzustellen, dass diese Art von Ereignissen in Zukunft nicht mehr vorkommen. Obwohl dieser Exploit ein schlimmer Vorfall ist, ist es nicht ungewöhnlich, dass Protokolle dieser Art von Kampftests ausgesetzt sind. Da wir dabei sind, aggressiv zu expandieren, werden wir weiterhin in unsere Fähigkeiten und Strategien zur Risikominderung investieren.“
In Bezug auf die Zukunft des Projekts enthüllte das Team auch, dass der Curve-Pool wieder im Gleichgewicht ist. Sie konzentrieren sich auf Wiederherstellungsversuche, indem sie den Hacker aufspüren und sogar eine 20-prozentige White-Hat-Belohnung für die Rückgabe des Geldes anbieten, ohne dass Fragen gestellt werden. Sie entwickeln auch verschiedene Ansätze, um die gestohlenen Gelder zu verfolgen, um sie wiederzuerlangen.
Haftungsausschluss: Dieser Artikel dient nur zu Informationszwecken. Es wird nicht als Rechts-, Steuer-, Investitions-, Finanz- oder sonstige Beratung angeboten oder verwendet.
Quelle: https://cryptodaily.co.uk/2022/09/avalanche-based-protocol-loses-371-k-in-flash-loan-attack