Уязвимость в лендинг-контрактах Base привела к краже $1 млн

Эксплойт в не прошедших сертифицированную проверку лендинг-контрактах L2-сети Base привел к краже более $1 млн. Об инциденте сообщила фирма по безопасности Cyvers Alerts.

🚨ALERT🚨Our system detected multiple suspicious transactions involving unverified lending contracts on #Base a few hours ago.

The attacker initially made a suspicious transaction, gaining approximately $993K from these unverified contracts. Most of these tokens were swapped and… pic.twitter.com/FRo5gVhxCc

— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) October 25, 2024

Злоумышленник воспользовался уязвимостью в связанных с WETH смарт-контрактах. После успешных манипуляций с ценовым оракулом он вывел $993 000.

Около $202 000 отправили на Tornado Cash. Затем атака повторилась, ущерб от нее составил $455 127. 

«Оракул, используемый этими контрактами, не надежен. Он полагается только на одну пару с ограниченной ликвидностью в $400 000, что сделало его восприимчивым к колебаниям цен, которыми можно манипулировать», — объяснил старший специалист по безопасности Cyvers Alerts Хакан Унал.

Для предотвращения подобных инцидентов необходимо использовать надежные, диверсифицированные оракулы с высокой ликвидностью, отметил эксперт. 

Злоумышленнику удалось скрыться с украденными активами, его личность не установлена. Ответственность за инцидент ляжет на управляющую кредитными протоколами организацию, добавил Унал.

Напомним, в октябре лендинговый протокол Radiant Capital подвергся взлому в сетях BNB Chain и Arbitrum на более чем $50 млн.