Потери Zunami Protocol в результате хакерской атаки составили $2,1 млн
Иследователи из компании по безопасности блокчейнов Beosin рассказали об очередной хакерской атаке. На сей раз пострадал Zunami Protocol, который позволяет своим пользователям оптимизировать доход с помощью UZD, zETH и омнипулов для Curve Finance. Неизвестный киберпреступник сумел совершить эксплойт в сети Ethereum и применил стратегию с манипулированием цен. В результате клиенты понесли убытки в размере $2,1 млн.
По словам исследователей из Beosin, основной причиной была уязвимость, из-за которой расчет цены пула ликвидности (LP) зависел от баланса токена CRV в самом контракте и обменного курса CRV к wETH в пуле wETH/CRV. Эксперты подчеркнули, что «сначала хакер занял 6811 ETH в виде флеш-кредита, а затем использовал 300 ETH для обмена на 84 zETH. После этого злоумышленник конвертировал 11 ETH в 35 293 CRV и перевел их в контракт sEthFraxEthCurveConvex для управления балансом CRV».
Интерес инвесторов к блокчейну постоянно растет. Получать доход от вложений в цифровые активы...
Ажиотаж на цифровые монеты повлек за собой формирование организаций, которые получают прибыль от...
Платформа занимает ведущие позиции в сфере цифровых платежей уже 20 лет. Система позволяет...
Затем мошенник использовал 406 ETH, совершив многократные обменные операции с CRV в пуле wETH/CRV, искусственно завысив тем самым цену токена примерно в 10 раз. «Расчет стоимости zETH (LP) зависит как от цены CRV, так и от обменного курса, рассчитанного на основе балансов CRV и ETH в контракте sEthFraxEthCurveConvex», — отметили исследователи из Beosin.
Злоумышленник манипулировал ценой CRV и балансом данного токена в пуле, увеличив итоговое значение функции _assetPriceCached. Таким образом, находящиеся в balanceOf 84 zETH были трансформированы в 221 zETH. Злоумышленник обменял их на 389 ETH, погасил флеш-кредит в размере 6811 ETH, а также комиссию. Выведя прибыль, он отправил украденные средства в микшер Tornado Cash.
Стоит отметить, что в последние время взломы криптовалютных проектов обрели огромные масштабы. Хакеры украли около $2 млрд только за 2022 год. Специалисты по безопасности утверждали, что атаки с использованием флеш-кредитов являются самым распространенным методом эксплойта протоколов децентрализованных финансов (DeFi).
