L'alternativa decentralizzata Stage Finance ha subito una violazione della sicurezza che ha consentito a un utente malintenzionato di rubare più di 1 milione di dollari del token Stage Finance (LVL) nativo dell'alternativa.
Stage Finance ha informato i suoi 20,000 follower su Twitter che più di 214,000 token LVL alternativi sono stati svuotati e scambiati in 3,345 Binance Coin (BNB) per un valore approssimativo di 1.01 milioni di dollari.
Un exploit ha riguardato il nostro contratto di controllore di riferimento.
- 214,000 token LVL ritirati sull'handle dello sfruttatore.
- L'aggressore ha modificato il LVL portandolo a 345 BNB
- L'exploit è stato escluso da diversi contratti.
- Riparazione da fornire in 12 ore.
- LP e DAO Vault NON INTERESSATI.
Dettagli extra da ritornare.
— LEVEL Finance #RealYield (@Level__Finance) 1 Maggio 2023
Secondo l'agenzia di sicurezza blockchain Peckshield, il contratto intelligente "LevelReferralControllerV2" di Stage Finance conteneva un difetto che consentiva "richieste di rinvio ripetute" della stessa epoca. Ciò è stato confermato da Stage Finance in una successiva affermazione su Discord.
Sembra che il @Livello__FinanzaIl contratto LevelReferralControllerV2 presenta un bug che consente richieste di riferimento ripetute della stessa epoca. Ad oggi sono stati detratti 214,000 LVL e scambiati con 3,345 BNB (~1 milione).
Ecco un esempio di hack TX: https://t.co/isqHhzFk1Z https://t.co/ikOWx2ezf6 pic.twitter.com/wlr5bFFf0R
- PeckShield Inc. (@peckshield) 1 Maggio 2023
Nel frattempo, Dati dal chain explorer BSC Scan di Binance, il contratto del controller V2 mostra un numero di chiamate alla funzione Dichiara un numero nelle 48 ore precedenti.
Al momento in cui scrivo, il implementazione del contratto non sembra essere cambiato da quando è emersa l'aggressione, tuttavia Stage Finance afferma che presenterà una nuova implementazione del contratto di rinvio nelle prossime 12 ore.
L'alternativa ha inoltre notato che i suoi pool di liquidità e le relative DAO non sono stati influenzati dall'attacco.
associato: Le truffe, gli exploit e gli hack di aprile hanno comportato una perdita di 103 milioni di dollari – CertiK
Sulla base di @DeDotFiSecurity su Twitter, lo staff dice che "chiude rapidamente il programma di riferimento", fermando l'exploit.
Su Discord, Stage Finance ha affermato che l'exploit è stato separato da altri exploit e che i clienti dell'alternativa "dovrebbero restare pronti per un'autopsia completa".
Diario: come i rollup ZK di Ethereum possono diventare interoperabili