2024 - Level Finance confirme un exploit de 1 million de dollars en raison d'un contrat intelligent bogué

L’échange décentralisé Level Finance a connu une faille de sécurité permettant à un attaquant de voler plus d’un million de dollars du jeton natif Level Finance (LVL) de l’échange.

Level Finance a informé ses 20 000 abonnés Twitter que plus de 214 000 jetons LVL de la bourse avaient été drainés et échangés contre 3 345 Binance Coin (BNB), d’une valeur approximative de 1,01 million de dollars.

Un exploit ciblait notre Referral Controller Contract.

– 214k jetons LVL drainés vers l’adresse des exploiteurs.
– L’attaquant a échangé le LVL contre 3 345 BNB
– Exploit a été isolé des autres contrats.
– Correction à déployer en 12 heures.
– Trésorerie LP et DAO NON AFFECTÉE.

Plus de détails à suivre.

— NIVEAU Finance #RealYield (@Level__Finance) 1 mai 2023

Selon la société de sécurité blockchain Peckshield, le contrat intelligent « LevelReferralControllerV2 » de Level Finance contenait un bogue qui permettait des « demandes de référence répétées » de la même époque. Cela a été confirmé par Level Finance dans une déclaration ultérieure faite sur Discord.

Il semble que le @Level__FinanceLe contrat LevelReferralControllerV2 de contient un bogue qui permet des demandes de référence répétées à partir de la même époque. Jusqu’à présent, 214 000 LVL ont été drainés et échangés contre 3 345 BNB (~ 1 million)

Voici un exemple de hack tx : https://t.co/isqHhzFk1Z https://t.co/ikOWx2ezf6 pic.twitter.com/wlr5bFFf0R

– PeckShield Inc. (@peckshield) 1 mai 2023

Entre-temps, données de l’explorateur de chaîne Binance BSC Scan, le contrat du contrôleur V2 montre plusieurs appels de la fonction « demander plusieurs » au cours des dernières 48 heures.

Au moment de la rédaction, le mise en œuvre du contrat ne semble pas avoir été modifié depuis l’avènement de l’attaque, cependant Level Finance indique qu’il déploiera une nouvelle implémentation du contrat de référence dans les 12 prochaines heures.

La bourse a également noté que ses pools de liquidités et les DAO associés ne sont pas affectés par l’attaque.

En rapport: Les escroqueries, les exploits et les piratages cryptographiques d’avril entraînent une perte de 103 millions de dollars — CertiK

Selon @DeDotFiSecurity sur Twitter, l’équipe dit qu’il a « fermé temporairement le programme de parrainage », ce qui a arrêté l’exploit.

Sur Discord, Level Finance a déclaré que l’exploit avait été isolé des autres exploits et que les utilisateurs de l’échange devraient « attendre une autopsie complète ».

Wayfinder, du développeur de Darksiders, abandonne le jeu gratuit et en ligne après sa séparation du studio Warframe

Où est Xur aujourd’hui ? (17-21 mai) Objets exotiques Destiny 2 et guide de localisation Xur

« C’était incroyable » : John Krasinski réfléchit au fait que Steve Carrell le faisait pleurer lorsqu’il travaillait ensemble sur IF

Les réalisateurs de « The Falling Sky », Eryk Rocha et Gabriela Carneiro da Cunha, expliquent comment la tribu Yanomami d’Amazonie peut apprendre aux « Blancs » à rêver collectivement.

Level Finance confirme un exploit de 1 million de dollars en raison d’un contrat intelligent bogué