Level Finance mengonfirmasi eksploitasi $1 juta karena kontrak pintar yang salah

Pertukaran Level Finance yang terdesentralisasi mengalami pelanggaran keamanan yang memungkinkan penyerang mencuri lebih dari $1 juta token Level Finance (LVL) asli bursa.

Level Finance telah memberi tahu 20.000 pengikut Twitternya bahwa lebih dari 214.000 token LVL pertukaran telah dikeringkan dan ditukar dengan 3.345 Binance Coins (BNB), dengan perkiraan nilai $1,01 juta.

Eksploitasi menargetkan perjanjian pengontrol referensi kami.

– Token LVL 214k terkuras untuk mengeksploitasi alamat.
– Penyerang memperdagangkan LVL di 3.345 BNB
– Eksploitasi telah diisolasi dari kontrak lain.
– Fix untuk diimplementasikan dalam 12 jam.
– Perbendaharaan LP dan DAO TIDAK TERPENGARUH.

Detail lebih lanjut untuk diikuti.

— LEVEL Keuangan #RealYield (@Level__Finance) 1 Mei 2023

Menurut perusahaan keamanan blockchain Peckshield, kontrak pintar “LevelReferralControllerV2” Level Finance berisi bug yang memungkinkan untuk “klaim rujukan berulang” dari era yang sama. Ini dikonfirmasi oleh Level Finance dalam pernyataan selanjutnya yang dirilis di Discord.

Sepertinya @Liveello__FinanzaKontrak LevelReferralControllerV2 memiliki bug yang memungkinkan permintaan rujukan berulang dari zaman yang sama. Sejauh ini 214.000 LVL telah terkuras dan ditukar dengan 3.345 BNB (~1 juta)

Berikut adalah contoh tx hack: https://t.co/isqHhzFk1Z https://t.co/ikOWx2ezf6 pic.twitter.com/wlr5bFFf0R

— PeckShield Inc. (@peckshield) 1 Mei 2023

Sementara itu, data dari Binance chain explorer BSC Scan, kontrak pengontrol V2 menunjukkan beberapa klaim beberapa panggilan dalam 48 jam terakhir.

Pada saat penulisan, penerapan kontrak tampaknya tidak berubah sejak serangan itu, namun Level Finance mengatakan akan meluncurkan implementasi baru dari penangguhan kontrak dalam 12 jam ke depan.

Pertukaran juga mencatat bahwa kumpulan likuiditas dan DAO terkait tidak terpengaruh oleh serangan itu.

Terkait: Penipuan, Eksploitasi, dan Serangan Dunia Maya di bulan April Menghasilkan Kerugian $103 juta — CertiK

Menurut @DeDotFiSecurity di Twitter, tim Dia berkata yang “menutup sementara program rujukan”, yang menghentikan eksploit.

Di Discord, Level Finance mengatakan eksploitasi itu diisolasi dari eksploitasi lain dan bahwa pengguna pertukaran harus “bersiap untuk post mortem penuh.”