Level Finance confirma una explotación de 1 millón de dólares debido a un contrato inteligente con errores

El intercambio descentralizado Level Finance ha experimentado una violación de seguridad que permitió a un atacante robar más de $1 millón del token nativo Level Finance (LVL) del intercambio.
Level Finance informó a sus 20.000 seguidores de Twitter que más de 214.000 tokens LVL del intercambio habían sido drenados e intercambiados por 3.345 Binance Coin (BNB), con un valor aproximado de 1,01 millones de dólares.
Un exploit apuntó a nuestro contrato de controlador de referencia. - 214k tokens LVL drenados a la dirección de los explotadores. - El atacante intercambió LVL a 3,345 BNB - El exploit fue aislado de otros contratos. - La solución se implementará en 12 horas. - La tesorería de LP y DAO NO AFECTÓ. Más detalles a seguir.
— Finanzas LEVEL#RealYield(@Level__Finance) 1 de mayo de 2023
Según la empresa de seguridad blockchain Peckshield, el contrato inteligente “LevelReferralControllerV2” de Level Finance contenía un error que permitía “reclamaciones de referencias repetidas” de la misma época. Level Finance lo confirmó en una declaración posterior realizada en Discord.
Parece que el contrato LevelReferralControllerV2 de @Level__Finance tiene un error que permite reclamos de referencia repetidos de la misma época. Hasta ahora, se han agotado 214k LVL y se han intercambiado por 3345 BNB (~1M). Aquí hay un ejemplo de truco: https://t.co/isqHhzFk1Z https://t.co/ikOWx2ezf6 pic.twitter.com/wlr5bFFf0R
— PeckShield Inc. (@peckshield) 1 de mayo de 2023
Mientras tanto, los datos del explorador de cadena de Binance BSC Scan, el contrato del controlador V2, muestran múltiples llamadas a la función “reclamar múltiple” durante las últimas 48 horas.
Al momento de escribir este artículo, la implementación del contrato no parece haber sido alterada desde el inicio del ataque, sin embargo, Level Finance dice que implementará una nueva implementación del contrato de referencia dentro de las próximas 12 horas.
El exchange también señaló que sus fondos de liquidez y DAO relacionados no se vieron afectados por el ataque.
Según @DeDotFiSecurity en Twitter, el equipo dice que ha “cerrado temporalmente el programa de referencia”, lo que ha detenido el exploit.
En Discord, Level Finance dijo que el exploit había sido aislado de otros exploits y que los usuarios del exchange deberían “esperar un análisis completo”.
Revista: Así es como los ZK-rollups de Ethereum pueden volverse interoperables