Uma exploração de empréstimo flash teve como alvo o Nereus Finance, um protocolo de empréstimo baseado em Avalanche, resultando em perdas de mais de US$ 300 mil.
Exploração de Empréstimo Flash Avalanche
O USD Coin (USDC) no valor de US $ 371,000 foi desviado da Nereus Finance por meio de uma exploração de contrato inteligente, que a empresa de segurança cibernética blockchain Certik capturou na terça-feira. Logo depois, Nereus entrou no modo de reparo de danos e publicou um post-mortem detalhado do ataque na quarta-feira. Aparentemente, os invasores aproveitaram um empréstimo instantâneo de US$ 51 milhões da Aave para manipular o preço do pool AVAX/USDC Trader Joe LP por um único bloco. Como resultado, eles conseguiram gerar uma dívida de NXUSD (o token nativo do Nereus) por US$ 998,000 contra os US$ 508,000 em segurança. Depois que o empréstimo instantâneo foi reembolsado, os criminosos trocaram o dinheiro por diferentes ativos usando vários pools de liquidez e levaram esses ativos para suas carteiras privadas. A exploração aconteceu devido ao empréstimo flash da Avalanche, o que é interessante à luz das recentes alegações de manipulação de mercado contra sua controladora, Ava Labs.
Equipe faz post-mortem
A equipe da Nereus também agiu rapidamente notificando as autoridades, trazendo profissionais de segurança e montando uma estratégia de mitigação. Eles também liquidaram e suspenderam o mercado JLP abusado. Além disso, a equipe usou fundos de seu próprio tesouro para pagar a dívida incobrável, a fim de eliminar todo o potencial de risco para os fundos dos usuários. A autópsia revelou que houve uma “etapa perdida” no cálculo de preços dos novos tipos de garantias que suportam os tokens AVAX/USDC Trader Joe LP.
O Caminho a Seguir
A equipe também alegou que o erro não aconteceria novamente daqui para frente, dizendo:
“A equipe estará alterando nossas práticas de auditoria e segurança para garantir que esses tipos de eventos não ocorram no futuro. Embora essa exploração seja um incidente ruim - não é incomum que os protocolos enfrentem esses tipos de testes de batalha. Como estamos prestes a expandir agressivamente, continuaremos investindo em nossas capacidades e estratégias de mitigação de riscos.”
Falando sobre o futuro do projeto, a equipe também revelou que o pool da Curve está de volta ao equilíbrio. Eles estão se concentrando nas tentativas de recuperação rastreando o hacker e até oferecendo uma recompensa de 20% da White Hat pela devolução dos fundos, sem fazer perguntas. Eles também estão desenvolvendo diferentes abordagens para rastrear os fundos que foram roubados para recuperá-los.
Isenção de responsabilidade: este artigo é fornecido apenas para fins informativos. Não é oferecido ou tem a intenção de ser usado como aconselhamento jurídico, tributário, de investimento, financeiro ou outro.
Fonte: https://cryptodaily.co.uk/2022/09/avalanche-based-protocol-loses-371-k-in-flash-loan-attack