El protocolo de préstamos basado en avalancha, Nereus Finance, ha sido víctima de un astuto truco que hizo que un usuario obtuviera $ 371,000 en USD Coin (USDC) utilizando un contrato inteligente.
La firma de seguridad cibernética de blockchain CertiK fue una de las primeras en detectar el exploit el 6 de septiembre, lo que indica que el ataque afectó los fondos de liquidez en Nereus relacionados con el intercambio descentralizado Trader Joe y el creador de mercado automatizado Curve Finance.
CertiK también sugirió que los propios protocolos subyacentes se vieron afectados, sin embargo, Curve Finance respondió a través de Twitter el 7 de septiembre, afirmando que “tal vez quiso decir ‘activos afectados’, no ‘protocolos afectados’. Solo @nereusfinance y sus activos parecen afectados”.
El 7 de septiembre, Nereus Finance publicó un informe detallado Post mortem del incidente que explica que un “explotador” pudo implementar un contrato inteligente personalizado que utilizó un préstamo rápido de $ 51 millones de Aave para manipular artificialmente el precio del grupo AVAX / USDC Trader Joe LP (JLP) para un solo bloque.
Hemos publicado una autopsia sobre el incidente de NXUSD de ayer. https://t.co/ADhu6PagP2
Gracias @peckshield @CertiK— Finanzas Nereus (@nereusfinance) 7 de septiembre de 2022
Como resultado, el hacker anónimo pudo acuñar 998 000 del token nativo NXUSD de Nereus contra $ 508 000 de garantía. Luego intercambiaron este capital en diferentes activos a través de varios fondos de liquidez y lograron salir con una ganancia neta de $ 371,406 una vez que se devolvió el préstamo flash.
El incidente terminó con la creación de $ 500,000 de “deuda incobrable” de NXUSD en el protocolo NXUSD.
El equipo de Nereus dice que fue rápido para remediar la situación; después de consultar a expertos en seguridad, desarrollar un plan de mitigación y notificar a las fuerzas del orden público, liquidaron y detuvieron el mercado JLP explotado.
Según los informes, la deuda incobrable se pagó con NXUSD de la tesorería del equipo.
Según Nereus, el exploit resultó de un “paso perdido” en el cálculo del precio, lo que resultó en la oportunidad de ser explotado. Sin embargo, enfatizó que “los fondos de los usuarios no están en riesgo, y NXUSD continúa con garantías excesivas” y el “protocolo de préstamos y préstamos no se vio afectado por este exploit”.
Nereus también confía en que el mismo exploit no será posible una segunda vez, ya que el equipo modificará sus “prácticas de auditoría y seguridad para garantizar que este tipo de eventos no ocurran en el futuro”, y señaló:
“Si bien este exploit es un mal incidente, no es raro que los protocolos enfrenten este tipo de pruebas de batalla”.
Al momento de escribir este artículo, el equipo de Nereus está tratando de identificar al pirata informático y rastrear los fondos y ha ofrecido una recompensa de White Hat del 20% por la devolución de los fondos, sin hacer preguntas.
Relacionado: NIRV, moneda estable basada en Solana, cae un 85 % luego de un exploit de USD 3,5 millones
A pesar de este reciente exploit de préstamo relámpago y varios otros incidentes notables a lo largo del año, las alertas mensuales de Skynet de agosto de 2022 de CertiK Reportepublicado el 2 de septiembre, afirma que ha habido una disminución notable en este tipo de ataques.
En comparación con el mes anterior, agosto registró una caída del 95 % en los ataques de préstamos relámpago, lo que solo resultó en una pérdida total de $745 244, la segunda más baja de este año.
Febrero todavía tiene la pérdida más baja registrada por explotaciones de préstamos flash con solo $ 200,000.