Протокол DeFi Conic Finance сообщил, что был атакован, а злоумышленник украл более 1700 ETH на сумму 3,6 миллиона долларов из одного из его Omnipools.
Conic Finance — это платформа для балансировки ликвидности пула для децентрализованного финансового протокола Curve.
Подробности взлома
По данным компании по обеспечению безопасности BlockSec, причиной атаки было манипулирование ценами, вызванное «чтением и повторным входом».
Reentrancy — это общая ошибка, позволяющая злоумышленникам атаковать умные контракты, обманом заставляя их совершать повторные вызовы к целевому протоколу и красть его активы. Вызов — это разрешение для умного контракта взаимодействовать с адресом кошелька пользователя.
Источник Web3 Beosin заявил, что одна транзакция отправила почти все украденное количество на новый адрес Ethereum. Conic Finance обратился к пользователям с твитом о том, что они расследуют атаку и скоро поделятся обновлениями.
«В настоящее время мы расследуем атаку, связанную с ETH Omnipool, и поделимся обновлениями, как только они станут доступны.»
Компания по обеспечению безопасности PeckShield также проанализировала атаку, показав, что причина происходит из нового контракта CurveLPOracleV2 протокола. Компания написала в твиттере:
«Привет, @ConicFinance. На основе начального анализа вредоносной транзакции, наш начальный анализ показывает, что корень проблемы происходит из нового контракта CurveLPOracleV2. Наш аудит обнаружил аналогичную проблему с повторным входом только для чтения. Однако та же проблема возникла в новом контракте CurveLPOracleV2, который не входил в сферу аудита.»
Curve также продолжает работу с Conic Finance, заявив, что главная проблема была выявлена и повлияло только на ETH Omnipool.
«Если у вас есть средства на @ConicFinance, пожалуйста, уберите! Кажется, что произошла атака, которая, однако, не обнуляет все за один раз»
Позже Conic опубликовал подробную версию событий, заявив, что их предупредили об атаке, в результате которой пострадал $crvUSD Omnipool, и добавив, что они приняли все возможные меры безопасности, чтобы ограничить атаку.
«Примерно четыре часа назад нам сообщили об атаке, затронувшей $crvUSD Omnipool. В ответ на это и учитывая сегодняшнюю атаку на ETH, мы немедленно приняли максимальные меры безопасности и временно закрыли все Omnipools.»
Проблема атак в DeFi
Экосистема децентрализованных финансов была озадачена серией высокопрофильных хакерских атак, затронувших несколько крупных проектов. В отчете приложения для портфеля Web3 De.Fi подчеркивался масштаб проблемы. В отчетах говорилось, что в результате атак и мошенничеств с DeFi злоумышленники украли более 200 миллионов долларов только во втором квартале 2023 года. Однако потери от хакерских атак в DeFi были меньше во втором квартале по сравнению с первым кварталом 2023 года, согласно отчету CertiK, протоколы потеряли более 320 миллионов долларов между январем и мартом.
Conic Finance только недавно начал работу, позволяя пользователям вкладывать токены в их Omnipools. Omnipools позволяли пользователям разнообразить свою экспозицию по экосистеме Curve и также увеличивали награды. После начала работы Conic Finance смог привлечь миллионы долларов капитала, подчеркивая огромный спрос на такой продукт. Omnipools Conic работают за счет распределения ликвидности одного актива по нескольким пулам Curve. Токены поставщика ликвидности (LP) Curve ставятся на Convex, увеличивая награды CRV.
+ There are no comments
Add yours