$145K Потеряно, так как Хакеры используют Merkl для запуска непроверенных DeFi схем

Хакеры нашли новый способ эксплуатации децентрализованных финансов (DeFi) пользователей. На этот раз они использовали Merkl, универсальную платформу DeFi для стимулов, чтобы создать фальшивые, неподтвержденные кампании и вывести депозиты пользователей. Мошенничество нацеливалось на пользователей Sonic через Протокол Euler. Оно уже привело к убыткам более чем в $145,000.

Хакеры создают фальшивые кампании с высокой доходностью

Согласно пользователю DeFi YAM, недобросовестный актор воспользовался открытой настройкой Merkl для создания поддельных кампаний. Они, казалось, предлагали трехзначные доходности APR. Мошенничество приглашало пользователей внести депозит в USDC в то, что выглядело как законный сейф Euler на Sonic. Однако, как только пользователи внесли свои средства, злоумышленник полностью их исчерпал.

Поскольку Euler Finance является безразрешительным протоколом, любой может развернуть рынки без одобрения. Злоумышленник использовал эту функцию, чтобы запустить фальшивый рынок. Используя токен под названием scUSD в качестве залога и USDC в качестве долга. Затем они манипулировали ценой оракула, ключевым источником данных, используемым в DeFi, установив ее на абсурдные $1 миллионов за токен. Это позволило им занять 700,000 USDC под один scUSD. Это фактически дает им полный контроль над средствами хранилища.

Как работала схема мошенничества

Как только фальшивый рынок заработал, злоумышленник запустил непроверенную кампанию на Merkl. Он предлагает крайне высокие доходы, чтобы привлечь депозиты. Пользователи, которые внесли USDC в кампанию, видели, как их средства были заимствованы, обменивались на ETH. Затем они были переведены в проект RAILGUN, Протокол конфиденциальности, который часто используется для сокрытия транзакций.

Данные в цепочке показывают, что адрес кошелька основного оператора — 0x8ba913e…, с которого средства в конечном итоге были отправлены на 0xa86399…, прежде чем исчезнуть в RAILGUN. Интересно, что один пользователь, идентифицированный как 0xc0f8fe…, смог вывести свой депозит до того, как злоумышленник его исчерпал. Вероятно, потому что Хакер не следил активно за хранилищем.

Реакции сообщества DeFi

После обнаружения YAM призвал пользователей быть осторожными при взаимодействии с непроверенными кампаниями Merkl. Они также призвали команду Merkl сделать более сложным депозит в такие кампании, добавив более сильные всплывающие предупреждения.

Майкл Бентли, соучредитель и генеральный директор Euler Labs, ответил, подтвердив, что хранилище, о котором идет речь, было явно помечено как несертифицированное и обозначено как риск безопасности. Он отметил, что веб-сайт Euler позволяет доступ к несертифицированным хранилищам только после того, как пользователи вручную активируют опцию, подтверждающую риск. “Теперь мы навсегда блокируем все ссылки на это конкретное хранилище, чтобы предотвратить дальнейшее использование”, добавил Бентли.

Члены сообщества также задавали вопросы о том, как пользователи DeFi могут проверить, является ли оракул рынка легитимным. YAM объяснил, что оракулы предоставляют данные о реальных ценах для приложений DeFi. Они часто контролируются кураторами рынка и должны быть настроены тщательно. Небольшая ошибка, такая как неправильная десятичная точка или небезопасный мультиподписчик, может открыть двери для крупных эксплойтов, подобных этому.

Призывы к усилению мер безопасности

Инцидент подчеркивает повторяющуюся проблему в DeFi. Баланс между инновациями без разрешений и безопасностью пользователей. Платформы, такие как Merkl и Euler, позволяют любому свободно создавать или присоединяться к рынкам. Но эта открытость также предоставляет злоумышленникам возможность действовать. Хотя проекты ясно обозначают непроверенные кампании. Растущее число мошенничеств показывает, что одних предупреждений может быть недостаточно.

Пользователи теперь требуют больше трения, такого как обязательные проверки верификации или дополнительные подтверждения, для защиты депозитов. В настоящее время эксперты советуют пользователям взаимодействовать только с проверенными кампаниями и дважды проверять детали контракта перед внесением средств. Эксплуатация на сумму $145,000 служит еще одним напоминанием о том, что даже в открытом мире DeFi осторожность является лучшей защитой.