Level Finance - 翻车

Level Finance被铲平了（levelled）。

昨天，价值110万美元的推荐奖金从基于BSC的合约平台上被盗走。

警报是由definalist发出的（当时攻击仍在进行），两小时后Level Finance团队才确认。

幸运的是，损失被控制在项目的推荐计划中，金库的资金和LP都很安全。

黑客砸盘LVL换成BNB，使LVL价格从最高峰暴跌了65%，而后大幅反弹。

这次攻击最初在一个多星期前就尝试过，但似乎没有人注意到。

一个警告能拯救Level吗？

信息来源：Peckshield, BlockSec

Level Finance的LevelReferralControllerV2合约包含允许在同一个区块内重复处理推荐人的奖励申请的错误。

黑客通过创建许多推荐链接并使用闪电贷来进行交易，从而增加他们的奖励层级来准备攻击。

claimMultiple函数不包含检查奖励的区块不被重复使用：

黑客的地址：0x70319d1c09e1373fc7b10403c852909e5b20a9d5

交易示例： 0xe1f25704...

LevelReferralControllerV2合约: 0x977087422C008233615b572fBC3F209Ed300063a

该项目由Quantstamp和Obelisk审计，他们都检查了LevelReferralControllerV2，这是项目核心合约的一部分，但没有发现这个错误。

总共有21.4万 LVL代币被黑客盗走，他用这些代币换取了3345个BNB，在撰写本文时价值约110万美元。这些资金目前仍在黑客的地址中。

代币的抛售导致LVL价格从8.42美元跌至2.93美元的低点（-65%），不过在攻击之后，价格大幅反弹。

正如BlockSec所提到的，从黑客的第一次尝试到他们最终成功利用之间的一周时间表明了链上监控系统的潜力。

当恶意合约被创建，包含旨在以非常规方式与DeFi协议互动的代码时，像Forta、Sentinel和Spotter这样的工具能够识别出这些行动是可疑的，并相应地提醒团队。

然而，很少有事故有这么多的警告。

DeFi协议可以只用一个区块的时间，完成从安全（SAFU）到翻车（rekt）的转变。

不过，通常情况下，在执行黑客攻击之前，必须部署一个攻击合约。即使是几分钟的警告，对于有能力暂停合约的更中心化的协议也是有用的。

不过，如果没有，BlockSec自己的白帽抢跑系统已经在一些情况下进行了干预，节省了资金并挫败了黑客。

也许链上哨兵保护完全去中心化和自我执行代码的未来目前看来还很遥远......

...但谁知道未来会怎样？

REKT作为匿名作者的公共平台，我们对REKT上托管的观点或内容不承担任何责任。

捐赠 (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

声明:

REKT对我们网站上发布的或与我们的服务相关的任何内容不承担任何责任，无论是由我们网站的匿名作者，还是由 REKT发布或引起的。虽然我们为匿名作者的行为和发文设置规则，我们不控制也不对匿名作者在我们的网站或服务上发布、传输或分享的内容负责，也不对您在我们的网站或服务上可能遇到的任何冒犯性、不适当、淫秽、非法或其他令人反感的内容负责。REKT不对我们网站或服务的任何用户的线上或线下行为负责。