Вразливість у лендінг-контрактах Base призвела до крадіжки $1 млн

Вразливість у лендінг-контрактах L2-мережі Base, які не пройшли сертифіковану перевірку, призвела до крадіжки понад $1 млн. Про інцидент повідомила фірма з безпеки Cyvers Alerts.

Зловмисник скористався вразливістю у пов’язаних із WETH смартконтрактах. Після успішних маніпуляцій із ціновим оракулом він вивів $993 000.

Близько $202 000 відправили на Tornado Cash. Потім атака повторилася, збиток від неї склав $455 127.

«Оракул, який використовується цими контрактами, не надійний. Він покладається тільки на одну пару з обмеженою ліквідністю в $400 000, що зробило його сприйнятливим до коливань цін, якими можна маніпулювати», — пояснив старший фахівець з безпеки Cyvers Alerts Хакан Унал.

Для запобігання подібних інцидентів необхідно використовувати надійні, диверсифіковані оракули з високою ліквідністю, зазначив експерт.

Зловмиснику вдалося втекти з вкраденими активами, його особу не встановлено. Відповідальність за інцидент ляже на організацію, що управляє кредитними протоколами, додав Унал.

Нагадаємо, у жовтні лендінговий протокол Radiant Capital зазнав злому в мережах BNB Chain і Arbitrum на більш ніж $50 млн.