诈骗者部署了一个自定义智能合约,利用 5100 万美元的闪电贷款来操纵单个区块的 AVAX/USDC Trader Joe LP 池价格。
基于 Avalanche 的借贷协议 Nereus Finance 一直是一次狡猾的黑客攻击的受害者,用户使用智能合约漏洞净赚了价值 371,000 美元的美元硬币 (USDC)。
区块链网络安全公司 CertiK 是最早在 9 月 6 日检测到该漏洞的公司之一,表明攻击影响了 Nereus 上与去中心化交易所 Trader Joe 和自动化做市商 Curve Finance 相关的流动资金池。
CertiK 还暗示底层协议本身受到了影响,但是,Curve Finance 于 9 月 7 日通过 Twitter 做出了回应,陈述“也许你的意思是‘受影响的资产’,而不是‘受影响的协议’。只有@nereusfinance 及其资产似乎受到了影响。”
9 月 7 日,Nereus Finance 发布了事件的详细事后分析,解释说“剥削者”能够部署使用 51 美元的自定义智能合约来自 Aave 的 10 万美元闪电贷,用于人为操纵单个区块的 AVAX/USDC Trader Joe LP (JLP) 池价格。
因此,匿名黑客能够铸造价值 998,000 的 Nereus 原生代币NXUSD 兑 508,000 美元的抵押品。然后,他们通过各种流动资金池将这些资金换成不同的资产,并在归还闪电贷款后设法以 371,406 美元的净利润离开。
该事件以在 NXUSD 协议中产生 500,000 美元的 NXUSD“坏账”而告终。
Nereus 团队表示,他们很快就可以纠正这种情况;在咨询安全专家、制定缓解计划并通知执法部门后,他们清算并暂停了被利用的 JLP 市场。
据报道,坏账是使用团队金库中的 NXUSD 偿还的。
根据 Nereus 的说法,漏洞利用是由于价格计算中的“遗漏了一步”,从而导致了被利用的机会。但是,它强调“没有用户的资金处于风险之中,NXUSD 继续被过度抵押”,并且“借贷协议不受此攻击的影响。”
尽管最近发生了闪电贷款攻击和在 9 月 2 日发布的 CertiK 2022 年 8 月月度天网警报报告中,全年发生了其他几起值得注意的事件,称此类攻击明显减少。
与上个月相比,8 月出现了闪贷攻击下降 95%,仅导致总损失 745,244 美元,为今年第二低。
