詐騙者部署了一個自定義智能合約,利用 5100 萬美元的閃電貸款來操縱單個區塊的 AVAX/USDC Trader Joe LP 池價格。
基於 Avalanche 的借貸協議 Nereus Finance 一直是一次狡猾的黑客攻擊的受害者,用戶使用智能合約漏洞淨賺了價值 371,000 美元的美元硬幣 (USDC)。
區塊鍊網絡安全公司 CertiK 是最早在 9 月 6 日檢測到該漏洞的公司之一,表明攻擊影響了 Nereus 上與去中心化交易所 Trader Joe 和自動化做市商 Curve Finance 相關的流動資金池。
CertiK 還暗示底層協議本身受到了影響,但是,Curve Finance 於 9 月 7 日通過 Twitter 做出了回應,陳述“也許你的意思是‘受影響的資產’,而不是‘受影響的協議’。只有@nereusfinance 及其資產似乎受到了影響。”
9 月 7 日,Nereus Finance 發布了事件的詳細事後分析,解釋說“剝削者”能夠部署使用 51 美元的自定義智能合約來自 Aave 的 10 萬美元閃電貸,用於人為操縱單個區塊的 AVAX/USDC Trader Joe LP (JLP) 池價格。
因此,匿名黑客能夠鑄造價值 998,000 的 Nereus 原生代幣NXUSD 兌 508,000 美元的抵押品。然後,他們通過各種流動資金池將這些資金換成不同的資產,並在歸還閃電貸款後設法以 371,406 美元的淨利潤離開。
該事件以在 NXUSD 協議中產生 500,000 美元的 NXUSD“壞賬”而告終。
Nereus 團隊表示,他們很快就可以糾正這種情況;在諮詢安全專家、制定緩解計劃並通知執法部門後,他們清算並暫停了被利用的 JLP 市場。
據報導,壞賬是使用團隊金庫中的 NXUSD 償還的。
根據 Nereus 的說法,漏洞利用是由於價格計算中的“遺漏了一步”,從而導致了被利用的機會。但是,它強調“沒有用戶的資金處於風險之中,NXUSD 繼續被過度抵押”,並且“借貸協議不受此攻擊的影響。”
儘管最近發生了閃電貸款攻擊和在 9 月 2 日發布的 CertiK 2022 年 8 月月度天網警報報告中,全年發生了其他幾起值得注意的事件,稱此類攻擊明顯減少。
與上個月相比,8 月出現了閃貸攻擊下降 95%,僅導致總損失 745,244 美元,為今年第二低。
