Un exploit de préstamo relámpago apuntó a Nereus Finance, un protocolo de préstamos basado en Avalanche, lo que resultó en pérdidas que ascendieron a más de $ 300K.
Explotación de préstamo relámpago de avalancha
USD Coin (USDC) con un valor de $ 371,000 fue desviado de Nereus Finance a través de un contrato inteligente, que la firma de seguridad cibernética blockchain Certik atrapó el martes. Poco después, Nereus entró en modo de reparación de daños y publicó una autopsia detallada del ataque el miércoles. Aparentemente, los atacantes aprovecharon un préstamo flash de $ 51 millones de Aave para manipular el precio del grupo AVAX / USDC Trader Joe LP para un solo bloque. Como resultado, pudieron generar una deuda de NXUSD (el token nativo de Nereus) por $998,000 contra los $508,000 en seguridad. Después de que se reembolsó el préstamo flash, los perpetradores intercambiaron el efectivo por diferentes activos utilizando una serie de fondos de liquidez y metieron estos activos en sus billeteras privadas. El exploit ocurrió debido al préstamo flash de Avalanche, que es interesante a la luz de las recientes acusaciones de manipulación del mercado contra su empresa matriz, Ava Labs.
El equipo hace post-mortem
El equipo de Nereus también actuó rápidamente al notificar a las fuerzas del orden público, traer profesionales de seguridad y elaborar una estrategia de mitigación. También liquidaron y suspendieron el maltratado mercado JLP. Además, el equipo usó fondos de su propia tesorería para pagar la deuda incobrable a fin de eliminar todo riesgo potencial hacia los fondos de los usuarios. La autopsia reveló que hubo un "paso perdido" en el cálculo del precio de los nuevos tipos de garantía que respaldan los tokens AVAX/USDC Trader Joe LP.
El camino a seguir
El equipo también afirmó que el error no volvería a ocurrir en el futuro, diciendo:
“El equipo modificará nuestras prácticas de auditoría y seguridad para garantizar que este tipo de eventos no ocurran en el futuro. Si bien este exploit es un mal incidente, no es raro que los protocolos enfrenten este tipo de pruebas de batalla. Como estamos a punto de expandirnos agresivamente, continuaremos invirtiendo en nuestras capacidades y estrategias de mitigación de riesgos”.
Hablando sobre el futuro del proyecto, el equipo también reveló que el grupo de Curve está nuevamente en equilibrio. Se están enfocando en los intentos de recuperación rastreando al pirata informático e incluso ofreciendo una recompensa de White Hat del 20% por la devolución de los fondos, sin hacer preguntas. También están desarrollando diferentes enfoques para rastrear los fondos que fueron robados con el fin de recuperarlos.
Descargo de responsabilidad: este artículo se proporciona solo con fines informativos. No se ofrece ni pretende utilizarse como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.
Fuente: https://cryptodaily.co.uk/2022/09/avalanche-based-protocol-loses-371-k-in-flash-loan-attack