Лавинный кредитный протокол Nereus Finance стал жертвой хитроумного взлома, в результате которого один из пользователей с помощью эксплойта смарт-контракта завладел монетами USD Coin (USDC) на сумму 371 000 долларов США.

Компания CertiK, занимающаяся кибербезопасностью блокчейна, одной из первых обнаружила эксплойт 6 сентября, указав, что атака затронула пулы ликвидности на Nereus, относящиеся к децентрализованной бирже Trader Joe и автоматизированному маркет-мейкеру Curve Finance.

CertiK также предположил, что пострадали сами базовые протоколы, однако компания Curve Finance ответила через Твиттер 7 сентября, заявив: "Возможно, вы имели в виду "активы пострадали", а не "протоколы пострадали". Похоже, что пострадали только @nereusfinance и его активы".

7 сентября компания Nereus Finance опубликовала подробное вскрытие инцидента, объяснив, что "эксплуататор" смог развернуть пользовательский смарт-контракт, который использовал флэш-кредит Aave на сумму 51 млн долларов США для искусственного манипулирования ценой пула Avax/USDC Trader Joe LP (JLP) в течение одного блока.

Мы опубликовали вскрытие вчерашнего инцидента с NXUSD. https://t.co/ADhu6PagP2
Спасибо @peckshield @CertiK

- Nereus Finance (@nereusfinance) 7 сентября 2022 г.

В результате анонимный хакер смог майнить нативный токен Nereus NXUSD на сумму 998 000 против залога в $508 000. Затем они обменяли этот капитал на различные активы через различные пулы ликвидности и смогли уйти с чистой прибылью в размере $371 406 после возврата флэш-кредита. 

Инцидент закончился тем, что в протоколе NXUSD был создан "безнадежный долг" в размере $500 000.

Команда Nereus утверждает, что быстро исправила ситуацию; после консультаций с экспертами по безопасности, разработки плана смягчения последствий и уведомления правоохранительных органов они ликвидировали и приостановили работу эксплуатируемого рынка JLP.

Как сообщается, безнадежный долг был погашен с помощью NXUSD из казны команды.

По словам Nereus, эксплойт стал результатом "пропущенного шага" в расчете цены, что привело к возможности быть использованным. Однако компания подчеркнула, что "никакие средства пользователей не подвергаются риску, и NXUSD по-прежнему имеет избыточное обеспечение", а "протокол кредитования и заимствования не был затронут этим эксплойтом".

Nereus также уверен, что второй раз такой эксплойт не повторится, так как команда внесет изменения в свои "методы аудита и безопасности, чтобы гарантировать, что подобные события не произойдут в будущем", - отметил он:

"Хотя этот эксплойт является неприятным инцидентом - это не редкость, когда протоколы сталкиваются с подобными боевыми испытаниями".

На момент написания этой статьи команда Nereus пытается установить личность хакера и отследить средства и предложила вознаграждение в размере 20% от "белой шляпы" за возвращение средств без каких-либо вопросов.

Несмотря на недавний эксплойт для флэш-кредитов и несколько других заметных инцидентов в течение года, CertiKs August 2022 Monthly Skynet Alerts Report, опубликованный 2 сентября, утверждает, что количество подобных атак заметно снизилось.

По сравнению с предыдущим месяцем, в августе количество атак на флэш-кредиты снизилось на 95%, в результате чего общий ущерб составил всего $745 244, что является вторым самым низким показателем в этом году.

В феврале по-прежнему зафиксирован самый низкий уровень убытков от использования флэш-кредитов - всего $200 000.

Источник