یک مهاجم یک اشکال “چند ادعا” را در قرارداد هوشمند Level Finance دستکاری کرد تا بیش از 214000 توکن LVL را از صرافی سرقت کند.
صرافی غیرمتمرکز Level Finance دچار یک نقض امنیتی شد که به مهاجم اجازه داد بیش از 1 میلیون دلار از توکن اصلی Level Finance (LVL) صرافی را سرقت کند.
Level Finance به 20000 دنبال کننده خود در توییتر گزارش داد که صرافی بیش از 214000 توکن LVL را تخلیه کرده و آنها را با 3345 بایننس کوین (BNB) مبادله کرده است که ارزش تقریبی آن 1.01 میلیون دلار است.
سوء استفاده ای که قرارداد کنترل کننده تغییر مسیر ما را هدف قرار می دهد.
– 214 هزار توکن LVL در آدرس استثمارگران ریخته شده است.
– مهاجم LVL را به 3345 BNB تغییر داد
– اکسپلویت از سایر قراردادها جدا است.
– رفع آن در 12 ساعت مستقر می شود.
– LP ها و گنج DAO تحت تأثیر قرار نمی گیرند.جزئیات بیشتر در ادامه خواهد آمد.
— LEVEL Finance #RealYield (@Level__Finance) 1 مه 2023
طبق گفته شرکت امنیتی بلاک چین Peckshield، قرارداد هوشمند Level Finance “LevelReferralControllerV2” حاوی اشکالی بود که اجازه “ادعاهای ارجاع مکرر” را از همان دوره می داد. این موضوع توسط Level Finance در بیانیه بعدی در Discord تأیید شد.
به نظر می رسد @Level__Financeیک اشکال در قرارداد LevelReferralControllerV2 کاربر وجود دارد که به درخواستهای مرجع مکرر از همان دوره اجازه میدهد. 214K LVL تاکنون تخلیه شده و به 3345 BNB (~1M) تبدیل شده است
این یک نمونه هک tx است: https://t.co/isqHhzFk1Z https://t.co/ikOWx2ezf6 pic.twitter.com/wlr5bFFf0R
– شرکت PeckShield (@peckshield) 1 مه 2023
در همین حال، دادههای کاوشگر زنجیرهای Binance BSC Scan، قرارداد کنترلر V2، تماسهای متعدد تابع «چند درخواست» را در 48 ساعت گذشته نشان میدهد.
در زمان نگارش این مقاله، به نظر نمیرسد اجرای قرارداد از زمان فاش شدن حمله تغییر کرده باشد، اما Level Finance میگوید که اجرای جدیدی از قرارداد ارجاع را ظرف 12 ساعت آینده اجرا خواهد کرد.
صرافی همچنین خاطرنشان کرد که استخرهای نقدینگی و DAO های مرتبط تحت تأثیر این حمله قرار نگرفتند.
مرتبط با: کلاهبرداری های رمزنگاری، سوء استفاده ها و هک ها در آوریل باعث زیان 103 میلیون دلاری شد – CertiK
طبق گفته DeDotFiSecurity@ در توییتر، این تیم می گوید او گفت که “به طور موقت برنامه ارجاع را تعطیل می کند” که سوء استفاده را متوقف کرد.
![](https://s3.cointelegraph.com/uploads/2023-05/c090689c-c0f9-4e90-8097-b538713fe088.png)
در Discord، Level Finance گفت که این اکسپلویت از سایر اکسپلویت ها جدا شده است و کاربران صرافی باید “منتظر کالبد شکافی کامل باشند.”
مجله: در اینجا آمده است که چگونه انباشتههای ZK اتریوم میتوانند قابلیت تعامل داشته باشند
نویسنده: Tom Mitchelhill