Децентрализованные финансы на уровне обмена пережили нарушение безопасности, позволяющее злоумышленнику украсть более 1 миллиона долларов из токена финансирования местного уровня обмена (LVL).

Финансирование уровня сообщила своим 20 000 подписчиков в Твиттере, что более 214 000 токенов LVL биржа были дренированы и заменены на 3345 монет биканса (BNB) с приблизительной стоимостью 1,01 млн. Долл. США.

Эксплойт нацелен на наш контракт с контроллером рефералов.

- 214K токены LVL, дренированные для эксплуатационных адресов.
- злоумышленник поменял LVL до 3345 Bnb
- Эксплойт был изолирован от других контрактов.
- Исправление для развертывания за 12 часов.
- LPS и DAO Казначейство не затронуто.

Подробнее следует следовать.

- Level Finance #Realyield (@level__finance) 1 мая 2023 г.

Согласно фирме по безопасности блокчейна Peckshield, Smart Contract Level Finance Finance 'LevelReferControllerv2 содержал ошибку, которая позволяла «повторные претензии» из той же эпохи. Это было подтверждено финансированием уровня в более позднем заявлении, сделанном на Discord.

Похоже, что контракт @level__finances levelreferralcontrollerv2 имеет ошибку, которая позволяет повторять претензии с той же эпохой. До сих пор 214K LVL были осушены и заменены на 3345 Bnb (~ 1M)

Вот пример Hack TX: https://t.co/isqhzfk1z https://t.co/ikowx2ezf6 pic.Twitter.com/wlr5bfff0rr

- Peckshield Inc. (@peckshield) 1 мая 2023 г.

Между тем, данные BSC BSC BSC Scaner Binance Explorer, контракт Controller V2 показывает несколько вызовов функции «претензии много» за последние 48 часов.

На момент написания написания, внедрение контракта, по -видимому, не была изменена с момента появления атаки, однако финансирование уровня говорит, что в течение следующих 12 часов он будет развернуть новую реализацию реферального договора.

Обмен также отметил, что его пулы ликвидности и связанные с ними DAO остаются нетронутыми атакой.

Согласно @dedotfisecurity в Твиттере, команда говорит, что она «временно закрыла реферальную программу», которая остановила эксплойт.

В Discord Level Finance заявил, что эксплойт был изолирован от других эксплойтов и что пользователи биржи должны «оставаться на полную постотков».
В Discord Level Finance заявил, что эксплойт был изолирован от других эксплойтов и что пользователи биржи должны «оставаться на полную постотков».

Журнал: Вот как ZK-роллы Ethereum могут стать совместимыми

Источник