$145K Втрачені, оскільки Хакери використовують Merkl для запуску неперевірених DeFi шахрайств

Хакери знайшли новий спосіб експлуатувати децентралізовані фінанси (DeFi) користувачів. Цього разу вони використали Merkl, одну платформу DeFi для стимулювання, щоб створити фальшиві, неперевірені кампанії та витягти депозити користувачів. Шахрайство націлилося на користувачів Sonic через протокол Euler. Це вже призвело до втрат більш ніж $145,000.

Хакери створюють фальшиві кампанії з високими доходами

Згідно з користувачем DeFi YAM, зловмисник скористався відкритою установкою Merkl, щоб створити фальшиві кампанії. Вони, здавалося, пропонували тризначні APR повернення. Шахрайство запрошувало користувачів вносити USDC у те, що виглядало як легітимний сховище Euler на Sonic. Однак, як тільки користувачі внесли свої кошти, зловмисник повністю їх витягнув.

Оскільки Euler Finance є бездозвільним протоколом, будь-хто може розгортати ринки без схвалення. Зловмисник використовував цю функцію, щоб запустити фальшивий ринок. Використовуючи токен під назвою scUSD як забезпечення і USDC як борг. Потім вони маніпулювали ціною оракула, ключовим джерелом даних, що використовується в DeFi, встановивши її на абсурдні $1 мільйонів за токен. Це дозволило їм позичити 700,000 USDC проти одного scUSD. Це фактично дає їм повний контроль над фондами сховища.

Як працював шахрайство

Коли фейковий ринок запрацював, зловмисник запустив неперевірену кампанію на Merkl. Він рекламує надзвичайно високі доходи, щоб залучити депозити. Користувачі, які внесли USDC у кампанію, мали свої кошти позичені, обміняні на ETH. Потім їх перевели до RAILGUN Project, протоколу конфіденційності, який часто використовують для приховування транзакцій.

Дані на ланцюгу показують, що адреса гаманця основного оператора 0x8ba913e…, з коштами, які врешті-решт були надіслані на 0xa86399… перед тим, як зникнути в RAILGUN. Цікаво, що один користувач, ідентифікований як 0xc0f8fe…, зміг зняти свій депозит до того, як зловмисник його висмоктав. Ймовірно, тому що хакер не стежив активно за сховищем.

Реакції від спільноти DeFi

Після виявлення YAM закликав користувачів бути обережними при взаємодії з неперевіреними кампаніями Merkl. Вони також закликали команду Merkl ускладнити внесення коштів у такі кампанії, додавши більш суворі спливаючі попередження.

Майкл Бентлі, співзасновник і генеральний директор Euler Labs, відповів, підтвердивши. Що сейф, про який йдеться, був чітко позначений як непідтверджений і маркований як ризик безпеки. Він зазначив, що веб-сайт Euler дозволяє доступ до непідтверджених сейфів тільки після того, як користувачі вручну включать опцію, що підтверджує ризик. “Ми тепер назавжди блокуватимемо всі посилання на цей конкретний сейф, щоб запобігти подальшому використанню,” додав Бентлі.

Члени спільноти також підняли питання про те, як користувачі DeFi можуть перевірити, чи є оракул ринку легітимним. YAM пояснив, що оракули надають дані про реальні ціни для додатків DeFi. Вони часто контролюються кураторами ринку і повинні бути налаштовані дуже обережно. Невелика помилка, така як неправильний десятковий знак або незахищений мультипідпис, може відкрити двері для великих експлойтів, як-от цей.

Заклики до посилення заходів безпеки

Інцидент підкреслює повторювану проблему в DeFi. Баланс між бездозвільною інновацією та безпекою користувачів. Платформи, такі як Merkl та Euler, дозволяють будь-кому вільно створювати або приєднуватися до ринків. Але ця відкритість також дає злочинцям можливість діяти. Хоча проекти чітко позначають неперевірені кампанії. Зростаюча кількість шахрайств показує, що попередження самі по собі можуть бути недостатніми.

Користувачі зараз закликають до більшого контролю, такого як обов'язкові перевірки або додаткові підтвердження, щоб захистити депозити. Наразі експерти радять користувачам взаємодіяти тільки з перевіреними кампаніями та двічі перевіряти деталі контрактів перед внесенням коштів. Викрадення на суму 145 000 доларів слугує ще одним нагадуванням про те, що навіть у відкритому світі DeFi обережність є найкращим захистом.