Level Finance xác nhận khai thác 1 triệu đô la do hợp đồng thông minh có lỗi

Kẻ tấn công đã thao túng một lỗi nhiều yêu cầu trong hợp đồng thông minh Level Finance để đánh cắp hơn 214.000 Token LVL từ nền tảng giao dịch.

Sàn giao dịch phi tập trung Level Finance đã gặp sự cố phá vỡ bảo mật cho phép kẻ tấn công đánh cắp hơn 1 triệu đô la Mỹ Token Level Finance (LVL) gốc của nền tảng giao dịch.

Level Finance đã thông báo cho 20.000 người theo dõi trên Twitter của mình rằng hơn 214.000 Token LVL của nền tảng giao dịch đã bị rút cạn và hoán đổi thành 3.345 Binance Coin (BNB), với giá trị xấp xỉ 1,01 triệu đô la.

An exploit targeted our Referral Controller Contract.

- 214k LVL tokens drained to exploiters address.
- Attacker swapped LVL to 3,345 BNB
- Exploit was isolated from other contracts.
- Fix to be deployed in 12 Hrs.
- LP's and DAO treasury UNAFFECTED.

More details to follow.

— LEVEL Finance #RealYield (@Level__Finance) May 1, 2023

Theo công ty bảo mật blockchain Peckshield, hợp đồng thông minh Level Finance LevelReferralControllerV2 có một lỗi cho phép lặp lại các yêu cầu giới thiệu từ cùng một thời điểm. Điều này đã được xác nhận bởi Level Finance trong một tuyên bố sau đó trên Discord.

It seems the @Level__Finance's LevelReferralControllerV2 contract has a bug that allows for repeated referral claims from the same epoch. So far 214k LVLs have been drained and swapped into 3,345 BNB (~1M)

Here is an example hack tx: https://t.co/isqHhzFk1Z https://t.co/ikOWx2ezf6 pic.twitter.com/wlr5bFFf0R

— PeckShield Inc. (@peckshield) May 1, 2023

Trong khi đó, dữ liệu từ Binance chain explorer BSC Scan, hợp đồng bộ điều khiển V2 cho thấy nhiều lệnh gọi của nhiều chức năng xác nhận quyền sở hữu trong 48 giờ qua.

Tại thời điểm viết bài, việc triển khai hợp đồng dường như không bị thay đổi kể từ khi xảy ra cuộc tấn công, tuy nhiên Level Finance cho biết họ sẽ triển khai một triển khai mới của hợp đồng giới thiệu trong vòng 12 giờ tới.

Sàn giao dịch cũng lưu ý rằng các Pool thanh khoản của nó và các DAO liên quan vẫn không bị ảnh hưởng bởi cuộc tấn công.

Theo @DeDotFiSecurity trên Twitter, nhóm nói rằng họ đã tạm thời đóng chương trình giới thiệu, điều này đã dừng việc khai thác.

Trên Discord, Level Finance cho biết vụ khai thác đã được cách ly khỏi các vụ khai thác khác và người dùng nền tảng giao dịch nên chuẩn bị cho cuộc khám nghiệm tử thi đầy đủ.

Tạp chí: Đây là cách Ethereum ZK-rollup có thể tương thích với nhau

Theo CoinTelegraph