Avalanche Smart Contract Exploit’te 371 bin dolar değerinde USDC çalındı. Dolandırıcı, AVAX/USDC Trader Joe LP havuz fiyatını yapay olarak manipüle etmek için Aave’den 51 milyon dolarlık bir flaş kredi kullanan özel bir akıllı sözleşme uyguladı. Avalanche tabanlı borç verme protokolü Nereus Finance, bir kullanıcının akıllı sözleşme istismarını kullanarak net 371.000 ABD Doları değerinde bir saldırının kurbanı oldu. Ayrıntılar haberimizde…
Popüler altcoinde büyük kripto para dolandırıcılığı
Avalanche tabanlı bir borç verme protokolü Nereus Finance, akıllı sözleşme istismarının en son kurbanı oldu. Hacker net 371 bin dolarlık USD Coin (USDC) ile kayıplara karıştı. Dolandırıcı, AVAX/USDC Trader Joe LP havuz fiyatını tek bir blok için manipüle etmek için 51 milyon dolarlık bir flash krediden yararlanarak özel bir akıllı sözleşme uyguladı. Blockchain siber güvenlik firması CertiK, 6 Eylül’de saldırının Nereus’taki merkezi olmayan borsa Trader Joe ve otomatik piyasa yapıcı Curve Finance ile ilgili likidite havuzlarını etkilediğini gösteren açığı ilk tespit edenlerden biriydi.
7 Eylül’de Nereus Finance, bir “istismarcının”, AVAX/USDC Trader Joe LP’yi (JLP) yapay olarak manipüle etmek için Aave’den 51 milyon dolarlık bir flaş kredi kullanan özel bir akıllı sözleşme uygulayabildiğini açıklayan olayın ayrıntılı bir otopsisini yayınladı. Sonuç olarak, tespit edilemeyen bilgisayar korsanları, 508.000 dolarlık teminat karşılığında 998.000 değerinde Nereus’un yerel tokeni NXUSD’yi elde etmeyi başardılar. Daha sonra bu sermayeyi çeşitli likidite havuzları aracılığıyla farklı varlıklara dönüştürdüler ve ani kredi iade edildikten sonra 371.406 $ net kar elde etmeyi başardılar.
Olay, NXUSD protokolünde 500.000$’lık NXUSD “kötü borç” yaratılmasıyla sona erdi. Nereus ekibi, olaya reaksiyonlarınını hızlı olduğunu söylüyor. Güvenlik uzmanlarına danıştıktan, bir etki azaltma planı geliştirdikten ve kanun uygulayıcıları bilgilendirdikten sonra, sömürülen JLP pazarını tasfiye ettiler ve duraklattılar. Kötü borcun takımın hazinesinden NXUSD kullanılarak ödendiği bildirildi.
Nereus’a göre, istismar, fiyat hesaplamasındaki “atlanan bir adımdan” kaynaklandı ve bu da istismar edilme fırsatıyla sonuçlandı. Yapılan açılamada “hiçbir kullanıcı fonunun risk altında olmadığı ve NXUSD’nin aşırı derecede teminat altına alınmaya devam edildiği” ve “Borç Verme ve Borç Alma protokolünün bu istismardan etkilenmediğini” vurgulandı.
Nereus ayrıca, ekip “bu tür olayların gelecekte meydana gelmemesini sağlamak için denetim ve güvenlik uygulamalarını” değiştireceğinden, aynı istismarın ikinci kez mümkün olmayacağından emin. Halen, Nereus ekibi bilgisayar korsanını belirlemeye ve fonları takip etmeye çalışıyor ve hiçbir soru sorulmadan fonların iadesi için %20 White Hat ödülü teklif etti. CertiK’in 2 Eylül’de yayınlanan Ağustos 2022 Aylık Skynet Uyarıları Raporu, bu son flaş kredi istismarına ve yıl boyunca meydana gelen diğer kayda değer olaylara rağmen, bu tür saldırılarda kayda değer bir düşüş olduğunu iddia ediyor.
