Бессрочный торговый протокол Levana подвергся атаке оракула и потерял $1,14 млн

Последнее обновление: 28 декабря 2023 г., 03:50 EST . 2 мин. чтения

Раскрытие информации: Криптовалюта является классом активов с высоким риском. Данная статья предоставлена в ознакомительных целях и не является инвестиционным советом. Используя этот веб-сайт, вы соглашаетесь с нашими условиями и положениями. Мы можем использовать партнерские ссылки в нашем контенте и получать комиссионные.Источник: PixabayТорговый протокол Perpetuals Levana стал жертвой атаки оракула, в результате чего убытки составили 1,14 миллиона долларов.

Согласно отчету команды Levana, эксплуатация произошла в период с 13 по 26 декабря, когда злоумышленники выкачали 10% пулов ликвидности Levana.

Злоумышленники использовали перегрузку в цепочке Osmosis, нарушив способность пользователей Levana взаимодействовать с рынками.

Это еще больше усугубилось из-за недостатка в коде рынка комиссий Osmosis, а также из-за наличия «устаревающей цены» в интеграции Levana с оракулом Pyth. Эти уязвимости позволяли злоумышленникам манипулировать ценами и истощать пулы.

«Ошибка в рыночном коде комиссий Osmosis означала, что во время перегруженности предоставленная цена на газ, как правило, была недостаточной для совершения сделок или выполнения текущих работ по обслуживанию ботов», — написал Левана.

Команда отметила, что, несмотря на атаку, в оракуле Pyth не было обнаружено никакой уязвимости.

«Несмотря на то, что оракул Pyth является ключевой частью атаки, в оракуле Pyth нет никакой известной уязвимости», — написала команда. «Он вел себя именно так, как и ожидалось».

Хакеры проводят атаки оракулов, манипулируя информацией, предоставляемой внешним источником данных, известным как оракул, с намерением обмануть смарт-контракты или протоколы блокчейна. Такая манипуляция данными оракула может привести к неправильным или непреднамеренным результатам в смарт-контрактах, что приведет к финансовым потерям или несанкционированным транзакциям.

Команда выявила несколько рынков, затронутых 7 «предполагаемыми злоумышленниками». Остается неясным, были ли вовлечены в эксплойт дополнительные учетные записи, и действовали ли эти учетные записи независимо друг от друга или совместно.

Украденная сумма могла бы быть больше, если бы не механизм бессрочного свопа Levana, использующий ряд надежных гарантий протокола и платежеспособности трейдера, заявила команда.

«Несмотря на то, что злоумышленник мог манипулировать тем, какие обновления цен оракулов попадали в цепочку, они не могли повлиять на позиции, прибыль или даже потенциальную прибыль других трейдеров, а также на заблокированные части пулов ликвидности», — написала команда. «Кроме того, они были ограничены в размере позиции, которую они могли распределить между собой, учитывая ограничения дельта-нейтральности протокола».

Levana активно разрабатывает решение, которое будет реализовано путем обновления кода во всех сетях, где доступна Levana — Osmosis, Sei и Injective.

Платформа заверила пользователей, что существующие торговые позиции и прибыль не пострадали от эксплойта. Однако в качестве меры предосторожности создание новых должностей и модификация существующих временно приостановлены до запланированного обновления на следующей неделе.

Кроме того, Левана изложил план по выплате компенсаций пострадавшим поставщикам ликвидности. Компания планирует провести аирдроп и распределить собранные протокольные сборы за период атаки среди пострадавших.