Avalanche ベースの Nereus Finance がフラッシュ ローン攻撃に苦しむ: 事後分析
- Nereus Finance は最近、スマート コントラクトのエクスプロイトを使用して、USD コイン (USDC) の形で $371,000 相当のユーザー資金を失う結果となった攻撃を目撃しました。
- CertiK は、自動化されたマーケット メーカーの Curve Finance と分散型取引所の Trader Joe に関連して、このハッキングと Nereus の流動性プールへの影響を最初に検出しました。
Avalanche ベースの融資プラットフォームである Nereus Finance は最近、スマート コントラクトのエクスプロイトを使用して USD Coin (USDC) の形で $371,000 相当のユーザー資金を失う結果となった攻撃を目撃しました。
9 月 6 日、有名なブロックチェーン サイバーセキュリティ会社である CertiK が、自動化されたマーケット メーカーである Curve Finance と分散型取引所の Trader Joe に関連して、ハッキングと Nereus の流動性プールへの影響を最初に検出しました。
CertiK はまた、基盤となるプロトコルも狡猾な攻撃の影響を受けると考えています。ただし、Curve Finance によると、影響を受けるのは Nereus のみです。
9月7日にTwitterで次のように述べています。
「おそらく、『影響を受けるプロトコル』ではなく、『資産に影響を与える』という意味でした。 [Nereus Finance] とその資産のみが影響を受けるようです。」
特に最近の Nereus Finance リリース 攻撃の詳細な事後分析。これは、ハッカーが、Aave からの $51 ミリオンのフラッシュ ローンを使用して、AVAX/USDC トレーダー ジョー LP (JLP) のプール価格を意図的に操作するカスタム スマート コントラクトを展開したことを明確に説明しています。
9 月 6 日の夜遅く、ネレウスはコミュニティの不和を利用して、攻撃についてコミュニティに警告しました。セキュリティの専門家に助言を求め、緩和計画を作成し、その後の数時間で法執行機関に支援するよう警告しました。レポートによると、レンディング プラットフォームは、悪用された JLP 市場を清算して一時停止することで、攻撃を最小限に抑えました。
Nereus Finance はさらに、攻撃者が $508,000 相当の担保に対して $998,000 相当の Nereus のネイティブ ユーティリティ トークン NXUSD を発行したことを確認しました。彼らは、複数の流動性プールを介してこの資金をさまざまな仮想通貨に交換し、フラッシュ ローンが返還されると、$371,000 の純額を盗んで逃げることができました。この攻撃により、NXUSD プロトコルで $500,000 相当の NXUSD の「不良債権」が発生し、チームの財務によって完済されたと報告されています。
Nereus チームは現在、攻撃者と資金の発見に取り組んでおり、資産の返還に対して 20% ホワイト ハットの報酬を提供することを決定しました。
さらに、Nereus は「今後この種のイベントが発生しないように監査およびセキュリティ ポリシーを変更する」と主張しているため、同じエクスプロイトが再び発生しないことも確実です。
「今後、TWAP計算は、チェーンリンクオラクルを持たない担保資産の価格フィードへの他のアップグレードとともに実装されます。」
貸付プロトコルの状態。