По мнению нескольких экспертов по безопасности, приложение для кредитования Web3 и агрегатор доходности Wise Lending потерял 170 ETH на сумму 440 000 долларов США в текущих ценах в результате явной атаки 12 января. Чтобы осуществить эксплоит злоумышленник манипулировал ценой оракула, используя мгновенные кредиты.
Данные блокчейна показывают, что атака произошла в 19:29 по всемирному координированному времени. Для вывода средств злоумышленник использовал непроверенный контракт с адресом, заканчивающимся на d82c. В этот контракт было передано несколько токенов, в том числе USD Coin (USDC) на $9000 , Tether (USDT) на $2000, Dai (DAI) на $5000, 18,51 Wrapped Ether (WETH) на сумму около $47,694 и многочисленные токены, связанные с Pendle Finance (PENDLE).
Операции с эксплойтом Wise Crediting, 12 января. Источник: Etherscan.
В рамках эксплоита злоумышленник заимствовал 1110 токенов Lido Staked Ether (stETH) (2,9 миллиона долларов США) из протокола кредитования Aave. Эксплуататоры часто используют срочные кредиты для манипулирования ценами оракулов.
Исследователь безопасности блокчейнов под псевдонимом Spreek предупредил криптосообщество об атаке на X (ранее Twitter), заявив:
«Похоже, что Wise Lending был атакован примерно на 170 ETH», – написал Spreek (@spreekaway) 12 января 2024 г.
В серии твитов Spreek предположил, что уязвимость могла быть связана с новым производным токеном Pendle Finance. Другой исследователь безопасности, «Записки офицера», поделился публикацией, прокомментировав: «Еще один день, еще один эксплоит». Согласно примечаниям «офицера», уязвимость могла быть вызвана колебанием цен на 7% между stETH и ETH внутри определенного пула, что, в свою очередь, было «из-за флэш-займа stETH на AAVE v2».
2024 год только начался, но протоколы децентрализованного финансирования уже потеряли из-за эксплоитов не менее 5 миллионов долларов. 3 января протокол межсетевого кредитования Radiant Capital потерял более 4,5 миллионов долларов. На следующий день менеджер ликвидности Gamma Protocol потерял более 400 000 долларов в результате эксплоита. Позднее сумма потерь достигла $3,4 млн и разработчики, похоже, пытаются уговорить хакера вернуть большую часть средств.
По данным платформы безопасности блокчейна ImmuneFi, в 2023 году криптоиндустрия потеряла более 1,8 миллиарда долларов в результате взломов, мошенничества и эксплоитов.