Le protocole de trading perpétuel Levana subit une attaque d’Oracle et perd 1,14 million de dollars

Dernière mise à jour : Décembre 28, 2023 03 :50 EST . Temps de lecture : 2 min

Divulgation : Les crypto-monnaies sont une classe d’actifs à haut risque. Cet article est fourni à titre informatif et ne constitue pas un conseil en investissement. En utilisant ce site Web, vous acceptez nos conditions générales. Nous pouvons utiliser des liens d’affiliation dans notre contenu et recevoir une commission.Source : PixabayLe protocole de trading perpétuel Levana a été victime d’une attaque d’oracle, entraînant une perte de 1,14 million de dollars.

Selon un rapport de l’équipe de Levana, l’exploitation s’est déroulée entre le 13 et le 26 décembre, les assaillants siphonnant 10 % des pools de liquidités de Levana.

Les auteurs ont exploité une attaque de congestion sur la chaîne d’osmose, perturbant la capacité des utilisateurs de Levana à interagir avec les marchés.

Cela a été exacerbé par une faille dans le code du marché des honoraires d’Osmosis et la présence d’une « obsolescence des prix » dans l’intégration de Levana avec l’oracle Pyth. Ces vulnérabilités ont permis aux attaquants de manipuler les prix et d’épuiser les pools.

« Un bogue dans le code du marché des frais d’osmose signifiait que pendant les périodes de congestion, le prix du gaz fourni était généralement insuffisant pour effectuer des transactions ou effectuer des activités de maintenance des robots en cours », a écrit Levana.

L’équipe a noté qu’il n’y avait aucune vulnérabilité connue dans l’oracle de Pyth malgré l’attaque.

« Bien que l’oracle Pyth soit un élément clé de l’attaque, il n’y a pas de vulnérabilité connue dans l’oracle Pyth », a écrit l’équipe. « Il s’est comporté exactement comme prévu. »

Les pirates informatiques mènent des attaques oracle en manipulant les informations fournies par une source de données externe, connue sous le nom d’oracle, dans le but de tromper les contrats intelligents ou les protocoles blockchain. Cette manipulation des données de l’oracle peut entraîner des résultats incorrects ou inattendus dans les utilisations de contrats intelligents, entraînant des pertes financières ou des transactions non autorisées.

L’équipe a identifié plusieurs marchés touchés par 7 « acteurs malveillants présumés ». On ne sait toujours pas si d’autres comptes ont été impliqués dans l’exploit et si ces comptes ont agi indépendamment ou en collaboration.

Le montant volé aurait pu être plus élevé sans le mécanisme d’échange perpétuel de Levana utilisant un certain nombre de garanties solides de protocole et de solvabilité des traders, a déclaré l’équipe.

« Malgré le fait que l’attaquant ait pu manipuler les mises à jour de prix d’oracle qui ont atterri sur la chaîne, il n’a pas été en mesure d’affecter les positions, les bénéfices ou même les bénéfices potentiels des autres traders, ainsi que les parties verrouillées des pools de liquidité », a écrit l’équipe. « De plus, ils étaient limités dans la taille de la position qu’ils pouvaient s’attribuer compte tenu des limites de neutralité delta du protocole. »

Levana développe activement une solution, qui sera mise en œuvre par le biais d’une mise à niveau du code dans toutes les chaînes où Levana est disponible : Osmosis, Sei et Injective.

La plateforme a rassuré les utilisateurs sur le fait que les positions commerciales et les bénéfices existants n’ont pas été affectés par l’exploit. Toutefois, par mesure de précaution, la création de nouveaux postes et la modification de postes existants ont été temporairement suspendues jusqu’à la mise à jour prévue la semaine prochaine.

En outre, Levana a présenté un plan visant à indemniser les fournisseurs de liquidités touchés. La société prévoit d’effectuer un parachutage et de distribuer les frais de protocole perçus pendant la période d’attaque aux personnes touchées.