Ofertas en tecnología

Explosión de préstamo flash de avalancha ve $ 371,000 en USDC robados

Altavoz inteligente Echo Dot

El estafador incorporó un contrato capaz personalizado, utilizando un préstamo flash de $ 51 millones para manejar el valor del conjunto LP AVAX / USDC Trader Joe para un solo bloque.

El protocolo de préstamos apoyado en avalancha, Nereus Finance, fue víctima de un truco capaz que vio a un usuario neto con un valor de $ 371,000 en USD Coin (USDC) usando un contrato capaz.

La firma de seguridad cibernética blockchain CertiK fue entre las primeras en advertir el exploit el 6 de septiembre, lo que señala que el ataque afectó los fondos de liquidez de Nereus en el trueque descentralizado Trader Joe y el constructor de mercado automatizado Curve Finance.

CertiK asimismo sugirió que los propios protocolos latentes se vieron damnificados, no obstante, Curve Finance respondió mediante Twitter el 7 de septiembre, aseverando que “quizás intentó comunicar ‘activos damnificados’ y no ‘protocolos damnificados’. Solo @nereusfinance y sus activos semejan verse damnificados.

El 7 de septiembre, Nereus Finance publicó una autopsia descriptiva del hecho que enseña que un «explotador» ha podido llevar a cabo un contrato capaz personalizado que usó un préstamo flash de $ 51 millones de Aave para manejar artificialmente el AVAX / USDC Trader Joe LP (JLP ) precio de la piscina para un solo bloque.

Como resultado, el pirata informático anónimo ha podido acuñar 998 000 tokens NXUSD originarios de Nereus contra una garantía de $508 000. Entonces intercambiaron este capital por distintos activos por medio de múltiples fondos de liquidez y consiguieron salir con una ganancia neta de $ 371,406 cuando se pagó el préstamo flash.

El hecho acabó con la creación de $ 500,000 de «deuda incobrable» de NXUSD en el protocolo NXUSD.

El equipo de Nereus asegura haber remediado de manera rápida la situación; tras preguntar con especialistas en seguridad, desarrollar un plan de mitigación y avisar a las fuerzas del orden público, liquidaron y suspendieron el mercado JLP operado.

La deuda incobrable se habría comprado empleando NXUSD del efectivo del equipo.

Según Nereus, el exploit resultó de un «paso perdido» en el cálculo del precio, lo que resultó en la posibilidad de ser explotado. No obstante, apuntó que «ningún fondo de usuario está bajo riesgo, y NXUSD prosigue con un exceso de garantía» y que «el protocolo de préstamos y préstamos no se vio perjudicado por este exploit».

Nereus asimismo confía en que exactamente el mismo exploit no va a ser viable una segunda vez, en tanto que el equipo alterará sus «prácticas de auditoría y seguridad para asegurar que esta clase de acontecimientos no vuelvan a acontecer más adelante», y apuntó:

Más allá de que este exploit es un mal hecho, no es extraño que los protocolos se encaren a este género de pruebas de combate.

Al instante de redactar este producto, el equipo de Nereus trata de detectar al pirata informático y seguir los fondos y ha brindado una recompensa de White Hat del 20% por devolver los fondos, sin llevar a cabo cuestiones.

Pese a este reciente exploit de préstamo flash y múltiples otros accidentes visibles en todo el año, el Informe por mes de notificaciones de Skynet de agosto de 2022 de CertiK, anunciado el 2 de septiembre, asegura que hubo una disminución destacable en esta clase de asaltos.

En comparación con el mes previo, agosto registró una caída del 95 % en los asaltos de préstamos relámpago, lo que resultó en una pérdida total de solo $745 244, la segunda mucho más baja del actual año.

Febrero todavía tiene la pérdida mucho más baja registrada por explotaciones de préstamos flash con solo $ 200,000.

Tommy Banks
Estaremos encantados de escuchar lo que piensas

Deje una respuesta

TecnoBreak | Ofertas y Reviews
Logo
Enable registration in settings - general
Shopping cart