基於Avalanche 的借貸協議Nereus Finance 成為了一次狡猾的黑客攻擊的受害者,該黑客讓用戶淨賺了價值371,000 美元的美元硬幣(美元兌美元) 使用智能合約漏洞。
區塊鍊網絡安全公司CertiK 是最早在9 月6 日檢測到該漏洞的公司之一,這表明該攻擊影響了Nereus 上與去中心化交易所Trader Joe 和自動化做市商Curve Finance 相關的流動資金池。
CertiK 還暗示底層協議本身受到了影響,但是,Curve Finance 於9 月7 日通過Twitter 做出回應,稱“也許你的意思是’受影響的資產’,而不是’受影響的協議’。 只有@nereusfinance 及其資產似乎受到了影響。”
9 月7 日,Nereus Finance 發布了詳細的 驗屍 解釋“剝削者”的事件能夠部署一個自定義智能合約,該合約使用 5100萬美元的閃貸 從Aave 人為操縱單個區塊的AVAX/USDC Trader Joe LP (JLP) 池價格。
我們已經發布了昨天關於NXUSD 事件的事後分析。 https://t.co/ADhu6PagP2
謝謝 @啄盾 @CertiK— Nereus Finance (@nereusfinance) 2022 年9 月7 日
結果,這位匿名黑客能夠用價值508,000 美元的抵押品鑄造出價值998,000 的Nereus 原生代幣NXUSD。然後,他們通過各種流動資金池將這些資金換成不同的資產,並在歸還閃電貸款後設法以371,406 美元的淨利潤離開。
該事件以在NXUSD 協議中產生500,000 美元的NXUSD “壞賬”而告終。
Nereus 團隊表示,他們很快就可以糾正這種情況。在諮詢安全專家、制定緩解計劃並通知執法部門後,他們清算並暫停了被利用的JLP 市場。
據報導,壞賬是使用團隊金庫中的NXUSD 償還的。
根據Nereus 的說法,漏洞利用是由於價格計算中的“錯過了一步”,從而導致了被利用的機會。但是,它強調“沒有用戶資金處於風險之中,NXUSD 繼續被過度抵押”,並且“借貸協議不受此攻擊的影響”。
Nereus 還相信,同樣的漏洞不會再次發生,因為該團隊將修改其“審計和安全實踐,以確保未來不會發生此類事件”,並指出:
“雖然這個漏洞利用是一個糟糕的事件,但協議面臨這些類型的戰鬥測試並不少見。”
在撰寫本文時,Nereus 團隊正試圖識別黑客並追踪資金,並提供了20% 的白帽獎勵以返還資金,沒有提出任何問題。
有關的: 基於Solana 的穩定幣NIRV 在利用350 萬美元後下跌85%
儘管最近有這種閃電貸款利用和幾個 其他值得注意的事件 全年,CertiK 的2022 年8 月月度天網警報 報告,於9 月2 日發布,聲稱這些類型的攻擊顯著減少。
與上個月相比,8 月份的閃貸攻擊下降了95%,僅導致總損失745,244 美元,為今年第二低。
2 月份的閃電貸漏洞記錄損失仍然最低,僅為200,000 美元。