- Angriff betraf Nereus-basierte Liquiditätspools, die mit dezentralen Kryptobörse Trader Joe verbunden sind.
- Der Hacker setzte einen Smart Contract ein, der einen 51 Millionen US-Dollar schweren Flash-Kredit von Aave ausnutzte.
Nereus Finance, ein Avalanche-basiertes DeFi-Protokoll, wurde Opfer eines Exploits und verlor 371.000 US-Dollar in USD Coin (USDC), schreibt CoinTelegraph.
Das Cybersecurity-Unternehmen CertiK enthüllte die Informationen über den Angriff erstmals vor zwei Tagen und gab an, dass er Liquiditätspools auf Nereus-betroffen hatte, die mit der DEX-Börse Trader Joe und dem Automated Money Maker von Curve Finance verbunden sind.
Nur Vermögenswerte betroffen, keine Protokolle
Die Cybersecurity-Firma deutete auch an, dass die Schwachstelle die zugrunde liegenden Protokolle betraf. Curve Finance twitterte am 7. September, dass nur die Vermögenswerte betroffen seien, nicht die Protokolle, und dass „nur Nereus Finance und seine Vermögenswerte betroffen zu sein scheinen“.
Nereus Finance hat aufgedeckt, dass ein Hacker einen benutzerdefinierten Smart Contract eingesetzt hat, der einen Flash-Kredit von Aave in Höhe von 51 Mio US-Dollar ausnutzte, um den Poolpreis künstlich zu manipulieren. Der spezifische Preis bezog sich auf den AVAX/USDC-Liquiditätspool der Kryptobörse Trader Joe.
Die Hacker prägten knapp eine Million NXUSD-Coins – die nativen Token von Nereus – im Austausch für Sicherheiten im Wert von 508.000 US-Dollar.
Anschließend nutzten sie verschiedene Liquiditätspools, um die Coins in verschiedene Vermögenswerte umzutauschen und erzielten nach Rückgabe des Flash-Kredits einen Gewinn von 371.406 US-Dollar.
Das Endergebnis waren uneinbringliche Forderungen in Höhe von 500.000 US-Dollar im NXUSD-Protokoll.
Nereus hat einen Plan zur Schadensbegrenzung
Nereus ergriff rasche Maßnahmen. Das Team pausierte und liquidierte den ausgenutzten Pool. Es wurden auch die Strafverfolgungsbehörden informiert, Konsultationen mit Sicherheitsexperten eingeleitet. Schließlich wurde auch ein Plan zur Schadensbegrenzung erstellt. Berichten zufolge wurde die Treasury dazu verwendet, die uneinbringlichen Forderungen in NXUSD zu begleichen.
Nereus berichtet, dass der Angriff auf einen „verpassten Schritt“ bei der Berechnung des Preises zurückzuführen ist. Das Team betonte, dass keine Benutzergelder gefährdet waren und NXUSD immer noch überbesichert war. Die Sicherheitslücke betraf weder das Lending- noch das Borrowing-Protokoll.
Die Plattform ist sich sicher, dass es nie wieder passieren wird, da das Team seine Sicherheits- und Prüfungspraktiken ändern wird, um solche Exploits in Zukunft zu verhindern.:
Nereus-TeamAuch wenn diese Sicherheitslücke ein schlimmer Vorfall ist – es ist nicht ungewöhnlich, dass Protokolle mit dieser Art von Tests konfrontiert werden.
Nereus bietet 20 % für die Rückgabe von Coins
Nereus arbeitet daran, die gestohlenen Coin zurückzuverfolgen und den Hacker zu identifizieren. Nereus setzte eine Belohnung von 20 % für jeden White Hat Hacker aus, der das Geld wiederbeschaffen kann.
Solche Angriffe finden zwar weiterhin statt, aber sie nehmen ab. Im August gab es 95 % weniger Flash Loan-Angriffe als im Juli. Insgesamt wurden in diesem Monat 745.244US- Dollar erbeutet, der zweitniedrigste Wert im Jahr 2022. Der schlimmste Monat für Angreifer war der Februar.