Пользователь потерял $2,6 млн из-за уязвимости в Morpho

В экосистеме Morpho произошел инцидент, в результате которого один из адресов утратил активы на сумму около $2,6 млн. Причиной стал баг во фронтенде Morpho, который позволил провести frontrun-атаку. По данным из блокчейна, средства были перехвачены юзером под псевдонимом c0ffeebabe.eth, который воспользовался ошибкой при оформлении транзакций и вывел значительную сумму в ETH.

Судя по всему, за одну операцию перемещено более 1700 ETH с Wrapped Ether на сумму $2,65 млн, а также почти аналогичный объем ETH. Активы отправлены через промежуточного MEV-билдера. Отдельная транзакция ETH на сумму $1060 также была возвращена на адрес c0ffeebabe.eth. В дополнение к этому, в рамках перевода переместилось множество ERC-20 токенов, включая активы, связанные с протоколами Pendle и Ethena.

Основной объем средств был направлен на адрес 0xE08…D015, который выступал в качестве получателя для Wrapped Ether и других токенов. В результате атаки пострадал именно этот кошелек, что видно по множеству внутренних и внешних транзакций. Конечным пунктом движения активов стал 0x1A5…C742, куда и были переведены цифровые валюты.

Инцидент вызвал волну обсуждений в криптосообществе, особенно в свете недавних заявлений команды Morpho о том, что ранее обнаруженная уязвимость уже устранена и не несет угрозы пользователям. Однако текущая ситуация демонстрирует: последствия багов могут быть значительно серьезнее, если атакующие получают доступ к фронтенду на ранних стадиях обновлений.

Несмотря на существенные технические издержки, утраты в финансовом эквиваленте оказались колоссальными. Адрес, который потерял средства, по всей видимости, взаимодействовал с фронтендом Morpho, когда в нем еще присутствовала ошибка. Официальных заявлений от команды Morpho на момент публикации не последовало.

Автор

Петр Иванов