Протокол Earning.farm стал жертвой очередного эксплойта

Стало известно, что утром 9 августа 2023 года киберпреступники совершили атаку на очередной протокол децентрализованных финансов (DeFi). В этот раз жертвой стал Earning.Farm. Об этом сообщили сразу несколько компаний по безопасности блокчейнов. Разработчики данного криптопродукта ставят своей задачей предоставить передовые инвестиционные инструменты для населения, чтобы пользователи из любых уголков земного шара могли получить доступ к финансовым услугам.

Представители Beosin отметили: протокол Earning.Farm подвергся многочисленным атакам. По заверениям специалистов, хакер использовал функцию мгновенного кредита (flash loan). Общий ущерб составил примерно $528 тыс. Аналитики подчеркнули, что основной причиной успеха данного эксплойта стала неправильная обработка общих ресурсов и токена LP ENF_ETHLEV. Это привело к «перераспределению нормального значения общих ресурсов».

Эксперты объяснили: изначально злоумышленник депонировал 320 ETH, чтобы получить большое количество ENF_ETHLEV, вызвав функцию deposite(). Затем он инициировал вывод своих ETH с помощью метода remove(). После этого хакер передал ENF_ETHLEV в другой контракт в резервной функции.

По словам экспертов, «из-за ошибочного алгоритма стоимость акций была переопределена. Злоумышленнику нужно было сжечь лишь небольшое количество токенов LP, чтобы выкупить 320 депонированных ETH». В итоге преступник обменял оставшиеся ENF_ETHLEV на 159 ETH.

Исследователи из 0xScope отметили, что протокол Earning.Farm подвергся атаке, в результате которой злоумышленник без проблем вывел 283 ETH, или $527 тыс., с помощью мгновенного кредита через протокол AAVE. По словам аналитиков, «хакер получил 10 ETH от Tornado Cash, создал эксплойт-контракт и получил прибыль в размере 283 WETH». Наконец, специалисты CertiK также подтвердили факт эксплойта протокола посредством атаки flash loan на контракте ENF_ETHLEV, который является прокси для EFVault.

Автор

Петр Иванов