Децентрализованная биржа Level Finance столкнулась с брешью в системе безопасности, что позволило злоумышленнику украсть более 1 миллиона долларов родного токена биржи Level Finance (LVL).
Level Finance сообщил своим 20 000 подписчикам в Твиттере, что более 214 000 токенов биржи LVL были слиты и обменены на 3 345 монет Binance Coin (BNB) приблизительной стоимостью 1,01 миллиона долларов.
Эксплойт нацелен на наш контракт контроллера рефералов.
— Токены 214k LVL слиты на адрес эксплуататоров.
— Злоумышленник поменял LVL на 3,345 BNB
— Эксплойт был изолирован от других контрактов.
— Исправление для развертывания через 12 часов.
— Сокровищница LP и DAO НЕ ЗАТРОНУТА.Подробности ниже.
— LEVEL Finance #RealYield (@Level__Finance) 1 мая 2023 г.
Согласно компании Peckshield, занимающейся безопасностью блокчейна, смарт-контракт Level Finance «LevelReferralControllerV2» содержал ошибку, которая допускала «повторные реферальные заявки» из одной и той же эпохи. Это было подтверждено Level Finance в более позднем заявлении, сделанном в Discord.
Похоже, что в контракте @Level__Finance LevelReferralControllerV2 есть ошибка, которая позволяет повторять реферальные заявки из одной и той же эпохи. На данный момент 214 тысяч латов были слиты и заменены на 3345 BNB (~ 1 миллион)
Вот пример хак tx: pic.twitter.com/wlr5bFFf0R
— PeckShield Inc. (@peckshield) 1 мая 2023 г.
Между тем, данные Binance Chain Explorer BSC Scan, контракт контроллера V2, показывают многочисленные вызовы функции «требовать несколько» за последние 48 часов.
На момент написания статьи реализация контракта, по-видимому, не изменилась с момента появления атаки, однако Level Finance сообщает, что в течение следующих 12 часов будет развернута новая реализация реферального контракта.
Биржа также отметила, что ее пулы ликвидности и связанные с ними DAO остаются незатронутыми атакой.
Связанные с: Апрельские крипто-мошенничества, эксплойты и взломы привели к потере 103 миллионов долларов — CertiK
Согласно @DeDotFiSecurity в Твиттере, команда говорит, что она «временно закрыла реферальную программу», что остановило эксплойт.
В Discord представители Level Finance заявили, что эксплойт был изолирован от других эксплойтов и что пользователи биржи должны «ожидать полного вскрытия».
Журнал: вот как ZK-свертки Ethereum могут стать совместимыми
Источник: Сointеlеgrаph