Protokol Berasaskan Avalanche Kerugian $371K Dalam Serangan Pinjaman Kilat

Eksploitasi pinjaman kilat menyasarkan Nereus Finance, protokol pinjaman berasaskan Avalanche, mengakibatkan kerugian berjumlah lebih $300K.

Avalanche Flash Loan Exploit

USD Coin (USDC) bernilai $371,000 telah disedut daripada Nereus Finance melalui eksploitasi kontrak pintar, yang ditangkap oleh firma keselamatan siber blockchain Certik pada hari Selasa. Tidak lama selepas itu, Nereus memasuki mod pembaikan kerosakan dan menerbitkan bedah siasat mendalam serangan itu pada hari Rabu. Nampaknya, penyerang memanfaatkan pinjaman kilat $51 juta daripada Aave untuk memanipulasi harga kumpulan AVAX/USDC Trader Joe LP untuk satu blok. Akibatnya, mereka dapat menjana hutang NXUSD (token asli Nereus) untuk $998,000 berbanding $508,000 dalam keselamatan. Selepas pinjaman kilat dibayar balik, pelaku menukar wang tunai dengan aset yang berbeza menggunakan beberapa kumpulan kecairan dan memasukkan aset ini ke dalam dompet peribadi mereka. Eksploitasi itu berlaku disebabkan pinjaman kilat Avalanche, yang menarik memandangkan dakwaan manipulasi pasaran baru-baru ini terhadap syarikat induknya, Makmal Ava.

Pasukan Melakukan Post-Mortem

Pasukan Nereus juga bertindak pantas dengan memaklumkan penguatkuasaan undang-undang, membawa masuk profesional keselamatan, dan menyusun strategi mitigasi. Mereka juga membubarkan dan menggantung pasaran JLP yang disalahgunakan. Tambahan pula, pasukan itu menggunakan dana daripada perbendaharaannya sendiri untuk membayar hutang lapuk untuk menghapuskan semua potensi risiko terhadap dana pengguna. Bedah siasat mendedahkan bahawa terdapat "langkah yang terlepas" dalam pengiraan harga jenis cagaran baharu yang menyokong token AVAX/USDC Trader Joe LP.

Jalan kehadapan

Pasukan itu juga mendakwa bahawa kesilapan itu tidak akan berlaku lagi pada masa hadapan, berkata, 

“Pasukan akan meminda amalan audit dan keselamatan kami untuk memastikan jenis acara ini tidak berlaku pada masa hadapan. Walaupun eksploitasi ini adalah insiden buruk — bukan perkara biasa bagi protokol untuk menghadapi jenis ujian pertempuran ini. Memandangkan kami akan berkembang secara agresif — kami akan terus melabur dalam keupayaan dan strategi pengurangan risiko kami.”

Bercakap tentang masa depan projek itu, pasukan itu juga mendedahkan bahawa kolam Curve kembali seimbang. Mereka menumpukan pada percubaan pemulihan dengan menjejaki penggodam dan malah menawarkan ganjaran White Hat sebanyak 20% untuk pemulangan dana, tanpa sebarang soalan ditanya. Mereka juga sedang membangunkan pendekatan yang berbeza untuk menjejaki dana yang dicuri untuk memulihkannya. 

Penafian: Artikel ini disediakan untuk tujuan maklumat sahaja. Itu tidak ditawarkan atau dimaksudkan untuk digunakan sebagai nasihat hukum, pajak, pelaburan, kewangan, atau nasihat lain.