По словам аналитиков по безопасности из BlockSec, сегодня протокол DeFi, Conic Finance, подвергся уязвимости со стороны хакера, которому удалось скрыться с 1700 эфирами (более 3,2 миллиона долларов). Conic — это протокол DeFi, предназначенный для распределения средств через децентрализованную биржу Curve с использованием пулов ликвидности, которыми она управляет.
Неизвестный злоумышленник воспользовался уязвимостью повторного входа, что впоследствии позволило манипулировать ошибочным ценовым оракулом, на который полагался Conic. Это позволило им вывести средства, сказал Мэтью Цзян, директор службы безопасности BlockSec, в интервью The Block.
Такая атака использует возможность многократного вызова функции в рамках одной транзакции до завершения первоначального вызова функции. Этот механизм позволяет злоумышленнику снять больше средств, чем ему положено.
В инциденте около 6:35 утра по восточному времени сегодня хакер выдал мгновенный заем, заняв 20 000 поставленных эфиров, о чем свидетельствуют данные в сети. Эти средства были направлены в Conic, поэтому его ценовой оракул, полученный из стороннего смарт-контракта «только для чтения», можно было подделать, что облегчило повторную атаку, пояснила BlockSec. «Быстрый кредит stETH был использован для увеличения прибыли», — сказал Цзян.
Информируя свое сообщество, Conic объявил в своем посте, что команда «расследует эксплойт, связанный с ETH Omnipool», и пообещал делиться дальнейшими обновлениями.
