Эксплойт блокчейна Base приводит к краже $1 млн

Уязвимость, связанная с неподтвержденными кредитными контрактами на цепочке блоков Base, привела к краже примерно 1 миллиона долларов.

Этот инцидент, который длился несколько часов, был сообщен фирмой по обеспечению безопасности блокчейнов Cyvers Alerts в сообщении от 25 октября.

Нападавший воспользовался уязвимостью в смарт-контрактах, связанных с Wrapped Ether (WETH), успешно манипулировал ценой и затем вывел средства.

Атака с использованием манипуляции ценой

Нападавший извлек $993,534 из неподтвержденных кредитных контрактов на цепочке блоков Base с помощью первоначальной подозрительной транзакции.

Они переместили большую часть украденных средств в сеть Ethereum и затем внесли $202,549 в службу конфиденциальности Tornado Cash. Были взяты дополнительные средства на сумму $455,127 с использованием той же уязвимости.

В письменном ответе на вопросы и ответы старший специалист по SOC в Cyvers Alerts Хакан Унал объяснил уязвимость, использованную в атаке:

"Оракул, используемый этими контрактами, не был надежным, полагаясь только на одну пару с ограниченной ликвидностью в размере около 400 тысяч долларов, что делало его уязвимым к колебаниям цен, которые можно было бы манипулировать."