Op lawine gebaseerd protocol verliest $ 371K in Flash Loan-aanval

Een flitslening-exploit was gericht op Nereus Finance, een op lawine gebaseerd leenprotocol, wat resulteerde in verliezen van meer dan $ 300K.

Exploitatie van lawineflitsleningen

USD Coin (USDC) ter waarde van $ 371,000 werd overgeheveld van Nereus Finance via een slimme contractexploit, die blockchain-cyberbeveiligingsbedrijf Certik dinsdag betrapte. Kort daarna ging Nereus in de schadeherstelmodus en publiceerde woensdag een diepgaande post-mortem van de aanval. Blijkbaar hebben de aanvallers een flitslening van $ 51 miljoen van Aave gebruikt om de AVAX/USDC Trader Joe LP-poolprijs voor een enkel blok te manipuleren. Als gevolg hiervan konden ze een schuld van NXUSD (het oorspronkelijke token van Nereus) genereren voor $ 998,000 tegen de $ 508,000 aan beveiliging. Nadat de flitslening was terugbetaald, ruilden de daders het geld om voor verschillende activa met behulp van een aantal liquiditeitspools en namen deze activa mee in hun privéportefeuilles. De uitbuiting gebeurde als gevolg van de Avalanche-flitslening, wat interessant is in het licht van de recente beschuldigingen van marktmanipulatie tegen het moederbedrijf, Ava Labs.

Team doet post-mortem

Het Nereus-team handelde ook snel door de politie op de hoogte te stellen, beveiligingsprofessionals in te schakelen en een mitigatiestrategie op te stellen. Ze hebben ook de misbruikte JLP-markt geliquideerd en opgeschort. Bovendien gebruikte het team geld uit de eigen schatkist om de dubieuze debiteuren af ​​te betalen om alle risico's voor gebruikersfondsen te elimineren. De post-mortem onthulde dat er een "gemiste stap" was in de prijsberekening van de nieuwe soorten onderpand die de AVAX/USDC Trader Joe LP-tokens ondersteunen.

De weg voorwaarts

Het team beweerde ook dat de fout in de toekomst niet meer zou gebeuren en zei: 

“Het team zal onze audit- en beveiligingspraktijken aanpassen om ervoor te zorgen dat dit soort gebeurtenissen in de toekomst niet meer voorkomen. Hoewel deze exploit een ernstig incident is, is het niet ongebruikelijk dat protocollen dit soort gevechtstests ondergaan. Omdat we op het punt staan ​​om agressief uit te breiden, zullen we blijven investeren in onze capaciteiten en risicobeperkende strategieën.”

Over de toekomst van het project gesproken, het team onthulde ook dat de Curve-pool weer in balans is. Ze richten zich op herstelpogingen door de hacker op te sporen en zelfs een White Hat-beloning van 20% uit te loven voor de teruggave van het geld, zonder dat er vragen worden gesteld. Ze ontwikkelen ook verschillende benaderingen om de gestolen fondsen te traceren om ze terug te krijgen. 

Disclaimer: dit artikel is alleen bedoeld voor informatieve doeleinden. Het wordt niet aangeboden en is niet bedoeld om te worden gebruikt als juridisch, fiscaal, investerings-, financieel of ander advies.