El exchange descentralizado Level Finance ha experimentado una brecha de seguridad que ha permitido a un atacante robar más de 1 millón de dólares del token nativo Level Finance (LVL) del exchange.
Level Finance informó a sus 20.000 seguidores de Twitter que más de 214.000 de los tokens LVL de la bolsa habían sido drenados y cambiados por 3.345 Binance Coin (BNB), con un valor aproximado de 1,01 millones de dólares.
Un exploit tuvo como objetivo nuestro Contrato de Controlador de Referencia.
– 214k tokens LVL drenados a la dirección de los explotadores.
– El atacante cambió LVL a 3.345 BNB
– Exploit fue aislado de otros contratos.
– La solución se implementará en 12 horas.
– LP’s y tesorería DAO NO AFECTADOS.Más detalles a continuación.
– LEVEL Finance #RealYield (@Level__Finance) 1 de mayo de 2023
Según la firma de seguridad blockchain Peckshield, el contrato inteligente “LevelReferralControllerV2” de Level Finance contenía un error que permitía “repetidas reclamaciones de remisión” de la misma época. Esto fue confirmado por Level Finance en una declaración posterior realizada en Discord.
Parece que el @Level__FinanceEl contrato LevelReferralControllerV2 de @Level__Finance tiene un error que permite que se repitan reclamaciones de referencia de la misma época. Hasta ahora 214k LVLs han sido drenados e intercambiados en 3,345 BNB (~1M)
Aquí hay un ejemplo de hack tx: https://t.co/isqHhzFk1Z https://t.co/ikOWx2ezf6 pic.twitter.com/wlr5bFFf0R
– PeckShield Inc. (@peckshield) 1 de mayo de 2023
Mientras tanto, según datos del explorador de cadenas Binance BSC Scan, el contrato de controlador v2 muestra múltiples llamadas de la función “reclamar múltiples” en las últimas 48 horas.
En el momento de escribir este artículo, el aplicación del contrato no parece haber sido alterada desde el advenimiento del ataque; sin embargo, Level Finance dijo que desplegaría una nueva implementación del contrato de remisión en las próximas 12 horas.
La bolsa también señaló que sus pools de liquidez y DAOs relacionados no se han visto afectados por el ataque.
Relacionado: Las estafas, exploits y hacks de criptomonedas de abril llevan a la pérdida de 103M$ – CertiK
Según DeDotFiSecurity en Twitter, el equipo dice que ha “cerrado temporalmente el programa de referidos”, lo que ha detenido el exploit.
En Discord, Level Finance dijo que el exploit había sido aislado de otros exploits y que los usuarios del exchange deberían “estar preparados para un post mortem completo.”
Revista: Así es como los ZK-rollups de Ethereum pueden llegar a ser interoperables
Source: COIN TELEGRAPH