Уязвимость в лендинг-контрактах Base привела к краже $1 млн

Эксплойт в не прошедших сертифицированную проверку лендинг-контрактах L2-сети Base привел к краже более $1 млн. Об инциденте сообщила фирма по безопасности Cyvers Alerts.

https://twitter.com/CyversAlerts/status/1849717982194257991?ref_src=twsrc%5Etfw

Злоумышленник воспользовался уязвимостью в связанных с WETH смарт-контрактах. После успешных манипуляций с ценовым оракулом он вывел $993 000.

Около $202 000 отправили на Tornado Cash. Затем атака повторилась, ущерб от нее составил $455 127. 

«Оракул, используемый этими контрактами, не надежен. Он полагается только на одну пару с ограниченной ликвидностью в $400 000, что сделало его восприимчивым к колебаниям цен, которыми можно манипулировать», — объяснил старший специалист по безопасности Cyvers Alerts Хакан Унал.

Для предотвращения подобных инцидентов необходимо использовать надежные, диверсифицированные оракулы с высокой ликвидностью, отметил эксперт. 

Злоумышленнику удалось скрыться с украденными активами, его личность не установлена. Ответственность за инцидент ляжет на управляющую кредитными протоколами организацию, добавил Унал.

Напомним, в октябре лендинговый протокол Radiant Capital подвергся взлому в сетях BNB Chain и Arbitrum на более чем $50 млн.