Das Avalanche-basierte Kreditprotokoll Nereus Finance wurde Opfer eines raffinierten Hacks, bei dem ein Benutzer USD Coins (USDC) im Wert von 371.000 $ unter Verwendung eines Smart-Contract-Exploits netto sah.
Das Blockchain-Cybersicherheitsunternehmen CertiK war eines der ersten, das den Exploit am 6. September entdeckte, was darauf hinweist, dass der Angriff Liquiditätspools auf Nereus im Zusammenhang mit dem dezentralen Börsenhändler Joe und dem automatisierten Marktmacher Curve Finance beeinträchtigte.
CertiK schlug auch vor, dass die zugrunde liegenden Protokolle selbst betroffen seien, Curve Finance antwortete jedoch am 7. September über Twitter und erklärte: „Vielleicht meinten Sie ‚Betroffene Vermögenswerte‘, nicht ‚Betroffene Protokolle‘. Nur @nereusfinance und seine Vermögenswerte scheinen betroffen zu sein.“
Am 7. September veröffentlichte Nereus Finance eine detaillierte Post-Mortem des Vorfalls, in dem erklärt wurde, dass ein „Exploiter“ in der Lage war, einen benutzerdefinierten Smart Contract einzusetzen, der ein Flash-Darlehen von Aave in Höhe von 51 Millionen US-Dollar nutzte, um den Poolpreis des AVAX/USDC Trader Joe LP (JLP) für einen einzelnen Block künstlich zu manipulieren.
Wir haben eine Obduktion zum NXUSD-Vorfall von gestern veröffentlicht. https://t.co/ADhu6PagP2
Vielen Dank @peckshield @ CertiK— Nereus Finance (@nereusfinance) 7. September 2022
Infolgedessen war der anonyme Hacker in der Lage, den nativen Token NXUSD von Nereus im Wert von 998.000 gegen Sicherheiten im Wert von 508.000 $ zu prägen. Sie tauschten dieses Kapital dann über verschiedene Liquiditätspools in verschiedene Vermögenswerte und schafften es, mit einem Nettogewinn von 371.406 $ nach Rückgabe des Flash-Darlehens davonzukommen.
Der Vorfall endete mit der Schaffung von 500.000 $ an NXUSD „uneinbringlichen Schulden“ im NXUSD-Protokoll.
Das Nereus-Team sagt, es habe schnell Abhilfe geschaffen; Nachdem sie Sicherheitsexperten konsultiert, einen Minderungsplan entwickelt und die Strafverfolgungsbehörden benachrichtigt hatten, liquidierten und pausierten sie den ausgebeuteten JLP-Markt.
Berichten zufolge wurde die uneinbringliche Forderung mit NXUSD aus der Schatzkammer des Teams beglichen.
Laut Nereus resultierte der Exploit aus einem „ausgelassenen Schritt“ in der Preiskalkulation, wodurch die Gelegenheit ausgenutzt werden konnte. Es betonte jedoch, dass „keine Benutzergelder gefährdet sind und NXUSD weiterhin überbesichert ist“ und das „Lending and Borrowing-Protokoll von diesem Exploit nicht betroffen war“.
Nereus ist auch zuversichtlich, dass derselbe Exploit kein zweites Mal möglich sein wird, da das Team seine „Audit- und Sicherheitspraktiken ändern wird, um sicherzustellen, dass diese Art von Ereignissen in Zukunft nicht mehr auftreten“, und stellt fest:
„Obwohl dieser Exploit ein schlimmer Vorfall ist, ist es nicht ungewöhnlich, dass Protokolle dieser Art von Kampftests unterzogen werden.“
Während ich dies schreibe, versucht das Nereus-Team, den Hacker zu identifizieren und die Gelder zu verfolgen, und hat eine 20-prozentige White-Hat-Belohnung für die Rückgabe der Gelder angeboten, ohne dass Fragen gestellt werden.
Verwandt: Der auf Solana basierende Stablecoin NIRV fällt nach einem 3,5-Millionen-Dollar-Exploit um 85 %
Trotz dieses jüngsten Flash-Darlehen-Exploits und mehrerer anderer bemerkenswerter Vorfälle im Laufe des Jahres sind die monatlichen Skynet-Warnungen von CertiK vom August 2022 Berichtveröffentlicht am 2. September, behauptet, dass es einen bemerkenswerten Rückgang dieser Art von Angriffen gegeben hat.
Im Vergleich zum Vormonat war im August ein Rückgang der Flash-Darlehensangriffe um 95 % zu verzeichnen, was nur zu einem Gesamtverlust von 745.244 $ führte, dem zweitniedrigsten in diesem Jahr.
Der Februar hat mit nur 200.000 US-Dollar immer noch den niedrigsten verzeichneten Verlust aus Flash-Darlehen-Exploits.