Il protocollo basato su valanga perde $ 371 in un attacco di prestito flash

Un exploit di prestito lampo ha preso di mira Nereus Finance, un protocollo di prestito basato su Avalanche, con conseguenti perdite per oltre $ 300.

Prestito a valanga Exploit

USD Coin (USDC) del valore di $ 371,000 è stato sottratto a Nereus Finance attraverso un exploit di contratti intelligenti, che la società di sicurezza informatica blockchain Certik ha catturato martedì. Subito dopo, Nereus è entrato in modalità di riparazione dei danni e mercoledì ha pubblicato un approfondito post mortem dell'attacco. Apparentemente, gli aggressori hanno sfruttato un prestito flash di $ 51 milioni da Aave per manipolare il prezzo del pool AVAX/USDC Trader Joe LP per un singolo blocco. Di conseguenza, sono stati in grado di generare un debito di NXUSD (il token nativo di Nereus) per $ 998,000 contro i $ 508,000 di sicurezza. Dopo che il prestito flash è stato rimborsato, gli autori hanno scambiato il denaro con diverse attività utilizzando una serie di pool di liquidità e hanno immesso queste risorse nei loro portafogli privati. L'exploit è avvenuto a causa del prestito flash Avalanche, interessante alla luce delle recenti accuse di manipolazione del mercato contro la sua società madre, Ava Labs.

La squadra fa l'autopsia

Il team di Nereus ha anche agito rapidamente notificando le forze dell'ordine, coinvolgendo professionisti della sicurezza e mettendo insieme una strategia di mitigazione. Hanno anche liquidato e sospeso il mercato abusato di JLP. Inoltre, il team ha utilizzato i fondi della propria tesoreria per ripagare il debito inesigibile al fine di eliminare tutti i potenziali rischi per i fondi degli utenti. L'autopsia ha rivelato che c'era un "passo mancato" nel calcolo del prezzo dei nuovi tipi di garanzie che supportano i token AVAX/USDC Trader Joe LP.

La via da seguire

Il team ha anche affermato che l'errore non si sarebbe ripetuto in futuro, dicendo: 

“Il team modificherà le nostre pratiche di audit e sicurezza per garantire che questo tipo di eventi non si verifichino in futuro. Sebbene questo exploit sia un brutto incidente, non è raro che i protocolli affrontino questo tipo di test di battaglia. Mentre stiamo per espanderci in modo aggressivo, continueremo a investire nelle nostre capacità e nelle strategie di mitigazione del rischio".

Parlando del futuro del progetto, il team ha anche rivelato che la piscina Curve è tornata in equilibrio. Si stanno concentrando sui tentativi di recupero rintracciando l'hacker e offrendo persino una ricompensa White Hat del 20% per la restituzione dei fondi, senza fare domande. Stanno anche sviluppando diversi approcci per rintracciare i fondi che sono stati rubati al fine di recuperarli. 

Dichiarazione di non responsabilità: questo articolo viene fornito solo a scopo informativo. Non è offerto o destinato a essere utilizzato come consulenza legale, fiscale, di investimento, finanziaria o di altro tipo.