Wise Lending обеспечил потери криптовалюты на 440 тыс. долларов в результате явной атаки с использованием флэш-кредита.

Wise Lending стал жертвой утечки криптовалюты на сумму $440 тыс. в результате эксплойта флэш-кредитов

Wise Lending, веб-приложение для кредитования и агрегатор доходности, недавно столкнулась со значительной потерей 170 эфиров (ETH), что эквивалентно примерно $440 000 по текущим рыночным ценам. Несколько экспертов по безопасности подтвердили, что инцидент стал результатом очевидного эксплойта, произошедшего 12 января.
Злоумышленник использовал технику флэш-кредитования, используя непроверенный контракт с адресом, заканчивающимся на d82c. Используя этот контракт, злоумышленник смог вывести средства из Wise Lending и потенциально манипулировать ценами в протоколе. Атака произошла в 19:29 UTC, о чем свидетельствуют данные блокчейна.
Помимо украденного Эфира, злоумышленник перевел в непроверенный контракт и другие токены. Среди них были USD Coin (USDC) стоимостью $9 000, Tether (USDT) стоимостью $2 000, Dai (DAI) стоимостью $5 000, 18,51 Wrapped Ether (WETH) стоимостью $47 694, а также несколько токенов, связанных с Pendle Finance.
Эксплойт заключался в заимствовании 1 110 токенов Lido Staked Ether (stETH), которые оцениваются примерно в 2,9 миллиона долларов. Это заимствование было осуществлено через протокол кредитования Aave, что является распространенной практикой среди эксплойтов, стремящихся манипулировать ценами на оракулы.
Впервые на атаку обратил внимание криптосообщества псевдонимный исследователь безопасности блокчейна по имени Spreek. В сообщении на сайте X (бывший Twitter) Spreek предупредил других, заявив: «Похоже, Wise Lending эксплуатируется для ~170 eth». Согласно последующему ответу Spreek, уязвимость, которая способствовала эксплойту, могла быть связана с новым производным токеном Pendle Finance.
Officer’s Notes, другой исследователь безопасности, еще больше подчеркнул инцидент, поделившись постом Spreek и прокомментировав его так: «Еще один день, еще один эксплойт». Officer’s Notes предположил, что уязвимость могла быть вызвана 7-процентным колебанием цен между stETH и ETH в рамках определенного пула, на которое потенциально мог повлиять флэш-кредит AAVE v2 stETH.
Этот инцидент — лишь один из нескольких эксплойтов, которые уже затронули децентрализованные финансовые протоколы в начале 2024 года. До убытков Wise Lending 3 января Radiant Capital понесла убытки в размере более 4,5 миллиона долларов, а Gamma Protocol потеряла более 400 000 долларов из-за эксплойта на следующий день. Кроме того, только в 2023 году криптоиндустрия понесла убытки в размере более 1,8 миллиарда долларов из-за взломов, мошенничества и эксплойтов, согласно данным Certik, платформы безопасности блокчейна.
Постоянное появление подобных эксплойтов вызывает опасения по поводу безопасности и надежности децентрализованных финансовых протоколов. По мере развития криптоиндустрии разработчикам и экспертам по безопасности становится все важнее оперативно устранять уязвимости и повышать устойчивость этих протоколов.
Пока Wise Lending работает над устранением последствий этого инцидента, он служит суровым напоминанием пользователям и участникам криптовалютного пространства о необходимости проявлять осторожность и проводить тщательную проверку, прежде чем работать с любыми платформами, предоставляющими кредиты или агрегаторами доходности.