Avalanche-baserade Nereus Finance drabbas av snabblånsattack: post mortem
- Nereus Finance har nyligen bevittnat en attack som resulterade i en förlust av $371 000 värde av användarmedel i form av USD Coin (USDC) med en smart kontraktsexploatering.
- CertiK upptäckte först hacket och dess inverkan på likviditetspooler på Nereus i samband med den automatiserade marknadsskaparen Curve Finance och decentraliserade börsen Trader Joe.
Avalanche-baserad utlåningsplattform Nereus Finance har nyligen bevittnat en attack som resulterade i en förlust av $371 000 värde av användarmedel i form av USD Coin (USDC) med hjälp av en smart kontraktsexploatering.
Den 6 september upptäckte det välrenommerade blockchain-cybersäkerhetsföretaget CertiK först hacket och dess inverkan på likviditetspooler på Nereus i samband med den automatiserade market maker Curve Finance och decentraliserade börsen Trader Joe.
CertiK tror också att de underliggande protokollen också påverkas av den listiga attacken. Men enligt Curve Finance är det bara Nereus som påverkas.
Det stod på Twitter den 7 september:
"Du kanske menade 'påverkade tillgångar', inte 'påverkade protokoll'. Endast [Nereus Finance] och dess tillgångar verkar påverkas."
Särskilt Nereus Finance nyligen släppte en detaljerad obduktion av attacken, som tydligt förklarar att hackaren använde ett anpassat smart kontrakt som använde ett $51 miljoner flashlån från Aave för att avsiktligt manipulera AVAX/USDC Trader Joe LP (JLP) poolpriset.
Senare på natten den 6 september använde Nereus samhällets oenighet för att varna samhället om ett övergrepp. Den sökte råd från säkerhetsspecialister, skapade en begränsningsplan och larmade polisen för att stödja insatserna under timmarna som följde. Enligt rapporten har utlåningsplattformen minimerat attacken genom att likvidera och pausa den exploaterade JLP-marknaden.
Nereus Finance bekräftade vidare att angriparen präglade $998 000 av Nereus inhemska verktygstoken NXUSD mot $508 000 i säkerhet. De fortsatte med att byta denna fond till olika kryptovalutor via flera likviditetspooler, och när flashlånet väl återlämnades lyckades de springa iväg med en nettostöld på $371,000. Attacken skapade $500 000 värda NXUSD "dåliga skulder" i NXUSD-protokollet, som enligt uppgift betalades av lagets skattkammare.
Nereus-teamet arbetar för närvarande med att hitta angriparen och medel och har beslutat att erbjuda en 20% White Hat-belöning för återlämnandet av tillgångarna.
Dessutom, eftersom Nereus påstår sig ändra sin "revisions- och säkerhetspolicy för att säkerställa att dessa typer av händelser inte inträffar i framtiden", är det också säkert att samma utnyttjande inte kommer att inträffa igen.
"Framöver kommer TWAP-beräkningar att implementeras tillsammans med andra uppgraderingar av prissättningsflöden för säkerhetstillgångar som inte har Chainlink-orakel,"
utlåningsprotokollet säger.
En kryptojournalist med över 3 års erfarenhet av DeFi, NFT, metaverse etc. Parth har arbetat med stora medier inom krypto- och finansvärlden och har skaffat sig erfarenhet och expertis inom kryptokultur efter att ha överlevt björn- och tjurmarknader genom åren.
