Οι χάκερ εκμεταλλεύτηκαν μια ευπάθεια smart contract Level Finance, επιτρέποντάς τους να “αποστραγγίσουν” 214.000 LVL tokens από το αποκεντρωμένο ανταλλακτήριο και να τις ανταλλάξουν με 3.345 BNB, αξίας περίπου 1.100.000 δολαρίων.
Δείτε επίσης: Συσκευές TBK DVR: Hacker εκμεταλλεύονται 5ετές ελάττωμα
Δείτε επίσης: Gmail: Δισεκατομμύρια χρήστες κινδυνεύουν από επίθεση phishing
Ενώ η Level Finance δήλωσε ότι η επίθεση δεν επηρέασε το liquidity pool και το θησαυροφυλάκιο του DAO και ότι το exploit απομονώθηκε από όλα τα άλλα συμβόλαια, το LVL token έχασε περίπου το 50% της αξίας του αμέσως μόλις έγινε γνωστή η επίθεση.
Η εταιρεία υποσχέθηκε να παράσχει ενημερώσεις σχετικά με την κατάσταση μόλις η έρευνα αποκαλύψει περισσότερα. Η DAO έχει από τότε δημοσιεύσει μια πρόταση, ζητώντας ψήφους για το πώς η κοινότητα θα πρέπει να χειριστεί τα 214K LVL tokens που προστέθηκαν στο circulation από την επίθεση.
Η εταιρεία ασφάλειας blockchain και ανάλυσης δεδομένων PeckShield εξήγησε ότι το παραβιασμένο έξυπνο συμβόλαιο, “LevelReferralControllerV2”, είχε ένα λογικό σφάλμα στη λειτουργία claimMultiple που επέτρεπε στους χρήστες να διεκδικούν επανειλημμένα referral rewards εντός της ίδιας εποχής (χρονική περίοδος).
Η BlockSec, ένας ελεγκτής έξυπνων συμβολαίων, κατέληξε στο ίδιο συμπέρασμα, προσθέτοντας ότι ο χάκερ προσπάθησε να εκμεταλλευτεί το ελάττωμα αρκετές φορές από την περασμένη εβδομάδα και απέτυχε.
Ο επιτιθέμενος δημιούργησε πολλαπλούς λογαριασμούς παραπομπής για να μεγιστοποιήσει τα rewards που θα μπορούσε να λάβει εκμεταλλευόμενος το σφάλμα στο έξυπνο συμβόλαιο.
Τα Flashloans χρησιμοποιήθηκαν για να ενισχύσουν περαιτέρω τις ανταμοιβές παραπομπής, επιτρέποντας στον επιτιθέμενο να πραγματοποιήσει δεκάδες ανταλλαγές από ένα token σε ένα άλλο, λαμβάνοντας κάθε φορά ανταμοιβή για την ενέργεια.
Τελικά, ο επιτιθέμενος πραγματοποίησε τα σωστά βήματα χθες και ξεκίνησε το hack που του απέφερε 1,1 εκατομμύρια δολάρια.
Δείτε επίσης: FBI: Έκλεισε 9 crypto exchange sites που διευκόλυναν το ξέπλυμα χρήματος
Ελεγμένο δεν σημαίνει ασφαλές
Παρόλο που η Level Finance έκανε ό,τι μπορούσε για να προστατεύσει τα περιουσιακά της στοιχεία, παραγγέλλοντας ελέγχους από δύο ανεξάρτητες εταιρείες, ο χάκερ βρήκε ακόμη έναν τρόπο να εκμεταλλευτεί τον κώδικα και να κλέψει χρήματα χρησιμοποιώντας χαμένα σφάλματα.
Ωστόσο, ενώ η Level Finance ελέγχθηκε δύο φορές το 2023, δεν είναι σαφές αν το vulnerable function ελέγχθηκε ή προστέθηκε αργότερα.
Οι έλεγχοι ασφαλείας δεν θα πρέπει να αντιμετωπίζονται ως εγγύηση ασφάλειας, όπως έχουμε δει πολλές φορές στο παρελθόν.
Πηγή πληροφοριών: bleepingcomputer.com
