去中心化交易所Level Finance 遭遇安全漏洞,攻擊者可以竊取超過100 萬美元的交易所原生Level Finance (LVL) 代幣。
Level Finance 通知其20,000 名Twitter 關注者,超過214,000 個交易所的LVL 代幣已被抽空並換成3,345 個幣安幣(BNB),價值約為101 萬美元。
一個針對我們的推薦控制器合約的漏洞利用。
– 21.4 萬個LVL 代幣流向了開發者地址。
– 攻擊者將LVL 兌換成3,345 BNB
– 漏洞利用與其他合約隔離開來。
– 修復在12 小時內部署。
– LP 和DAO 的財務不受影響。
更多詳情請關注。
— LEVEL Finance #RealYield (@Level__Finance) 2023 年5 月1 日
根據區塊鏈安全公司Peckshield 的說法,Level Finance 的“LevelReferralControllerV2”智能合約包含一個錯誤,允許來自同一時期的“重複推薦聲明”。 Level Finance 在後來在Discord 上發表的聲明中證實了這一點。
@Level__Finance 的LevelReferralControllerV2 合約似乎有一個錯誤,允許來自同一時期的重複推薦聲明。到目前為止,已有214k LVL 被抽空並兌換成3,345 BNB(約100 萬)
這是一個示例被黑tx:https://t.co/isqHhzFk1Z https://t.co/ikOWx2ezf6 pic.twitter.com/wlr5bFFf0R
– PeckShield Inc. (@peckshield) 2023 年5 月1 日
同時,來自幣安鏈瀏覽器BSC Scan 的數據顯示,V2 控制器合約顯示在過去48 小時內多次調用“claim multiple”功能。
在撰寫本文時,自攻擊發生以來,合約的實施似乎沒有改變,但Level Finance 表示將在未來12 小時內部署推薦合約的新實施。
該交易所還指出,其流動資金礦池和相關的DAO 仍未受到此次攻擊的影響。
相關:4 月份的加密貨幣騙局、漏洞利用和黑客攻擊導致1.03 億美元的損失— CertiK
根據Twitter 上的@DeDotFiSecurity,該團隊表示,它已“暫時關閉推薦程序”,從而阻止了該漏洞利用。
在Discord 上,Level Finance 表示該漏洞已與其他漏洞隔離開來,交易所的用戶應該“等待完整的事後分析”。
雜誌:以下是以太坊的ZK-rollups 如何變得可互操作
資訊來源:由0x資訊編譯自COINTELEGRAPH。版權歸作者Tom Mitchelhill所有,未經許可,不得轉載