Decentraliseret alternativ Stage Finance har kvalificeret et sikkerhedsbrud, der gjorde det muligt for en angriber at stjæle mere end $1 million af suppleantens oprindelige Stage Finance (LVL) token.
Stage Finance vidste sine 20,000 Twitter-tilhængere, at mere end 214,000 af suppleantens LVL-tokens er blevet tømt og byttet til 3,345 Binance Coin (BNB) med en omtrentlig værdi af $1.01 millioner.
En udnyttelse fokuserede på vores kontrakt for henvisningsansvarlige.
- 214,000 LVL-poletter trukket tilbage til udnytterens håndtag.
- Angriberen ændrede LVL til tre.345 BNB
- Udnyttelse er blevet fjernet fra forskellige kontrakter.
- Reparation skal leveres inden for 12 timer.
- LP'er og DAO Vaults er IKKE PÅRETTEDE.
Ekstra detaljer for at komme tilbage.
— LEVEL Finance #RealYield (@Level__Finance) Maj 1, 2023
Baseret på blockchain-sikkerhedsagenturet Peckshield indeholdt Stage Finances "LevelReferralControllerV2" fornuftige kontrakt en fejl, der tillod "gentagne henvisningskrav" fra den samme epoke. Dette blev bekræftet af Stage Finance i en senere påstand om Discord.
Det ser ud til, at @Niveau__FinansLevelReferralControllerV2-kontrakten har en fejl, der muliggør gentagne referencekrav fra den samme epoke. Til dato er 214,000 LVL'er blevet fratrukket og vekslet til 3,345 BNB (~1 mio.).
Lige her er et eksempel på hack TX: https://t.co/isqHhzFk1Z https://t.co/ikOWx2ezf6 pic.twitter.com/wlr5bFFf0R
- PeckShield Inc. (@peckshield) Maj 1, 2023
I mellemtiden, data fra Binance-kædeudforskeren BSC Scan viser V2-controllerkontrakten en række opkald til funktionen Declar A-nummer i løbet af de foregående 48 timer.
I skrivende stund er implementering af kontrakten ser ikke ud til at være blevet ændret af den grund, at overfald opstod, ikke desto mindre siger Stage Finance, at det vil præsentere en helt ny implementering af henvisningskontrakten inden for de efterfølgende 12 timer.
Suppleanten berømte desuden, at dens likviditetsswimmingpools og relaterede DAO'er forbliver upåvirket af overfaldet.
Tilknyttet: Aprils kryptosvindel, udnyttelse og hacks resulterede i $103 millioner tab – CertiK
Baseret på @DeDotFiSecurity på Twitter, personalet siger at det "hurtigt lukker for henvisningsprogrammet" og stopper udnyttelsen.
På Discord nævnte Stage Finance, at udnyttelsen er blevet fjernet fra forskellige bedrifter, og at kunderne til suppleanten "burde stå klar til en fuld obduktion."
Journal: Hvordan Ethereums ZK-rollups kan ændres til interoperable
