En exploatering av snabblån riktade sig till Nereus Finance, ett Avalanche-baserat låneprotokoll, vilket resulterade i förluster på över 300 XNUMX USD.
Avalanche Flash Loan Exploit
USD Coin (USDC) värt 371,000 51 USD togs bort från Nereus Finance genom en smart kontraktsexploatering, som blockchain-cybersäkerhetsföretaget Certik fångade på tisdagen. Kort därefter gick Nereus in i skadereparationsläge och publicerade en djupgående obduktion av attacken på onsdagen. Tydligen utnyttjade angriparna ett flashlån på 998,000 miljoner dollar från Aave för att manipulera poolpriset för AVAX/USDC Trader Joe LP för ett enda block. Som ett resultat kunde de generera en skuld på NXUSD (den ursprungliga token av Nereus) för $508,000 mot $XNUMX i säkerhet. Efter att snabblånet hade återbetalats bytte gärningsmännen ut kontanterna mot olika tillgångar med hjälp av ett antal likviditetspooler och slog in dessa tillgångar i sina privata plånböcker. Exploateringen skedde på grund av Avalanche flash-lånet, vilket är intressant i ljuset av de senaste anklagelserna om marknadsmanipulation mot dess moderbolag, Ava Labs.
Teamet gör postmortem
Nereus-teamet agerade också snabbt genom att meddela brottsbekämpande myndigheter, ta in säkerhetspersonal och sätta ihop en begränsningsstrategi. De likviderade och avbröt också den missbrukade JLP-marknaden. Dessutom använde teamet medel från sin egen kassa för att betala av de osäkra fordringarna för att eliminera all riskpotential mot användarmedel. Obduktionen avslöjade att det fanns ett "missat steg" i prisberäkningen av de nya säkerhetstyperna som stöder AVAX/USDC Trader Joe LP-tokens.
Vägen framåt
Teamet hävdade också att felet inte skulle hända igen framöver, och sa:
"Teamet kommer att ändra våra revisions- och säkerhetsrutiner för att säkerställa att dessa typer av händelser inte inträffar i framtiden. Även om detta utnyttjande är en dålig incident - det är inte ovanligt att protokoll möter den här typen av stridstester. När vi är på väg att expandera aggressivt – kommer vi att fortsätta att investera i vår kapacitet och riskreducerande strategier.”
När vi pratade om projektets framtid avslöjade teamet också att Curve-poolen är tillbaka i balans. De fokuserar på återställningsförsök genom att spåra hackern och till och med erbjuda en 20% White Hat-belöning för återbetalning av pengarna, utan några frågor. De utvecklar också olika tillvägagångssätt för att spåra de pengar som stals för att återfå dem.
Ansvarsfriskrivning: Den här artikeln tillhandahålls endast i informationssyfte. Det erbjuds eller är inte avsett att användas som juridisk, skatt, investering, finansiell eller annan rådgivning.
Källa: https://cryptodaily.co.uk/2022/09/avalanche-based-protocol-loses-371-k-in-flash-loan-attack