Security firm BlockSec said that the root cause of the attack was price manipulation caused by “read-only reentrancy.”
Security firm BlockSec said that the root cause of the attack was price manipulation caused by “read-only reentrancy.”
Merkezi olmayan finans (DeFi) protokolü Conic Finance Cuma günü yaptığı açıklamada, bir saldırganın Omnipool’larından birini etkileyen cari fiyatlarla 3,6 milyon doların üzerinde değere sahip 1.700’den fazla eteri (ETH) ele geçirmesine izin veren bir istismara maruz kaldığını söyledi.
Güvenlik firması BlockSec, saldırının temel nedeninin “salt okunur yeniden giriş” nedeniyle fiyat manipülasyonu olduğunu söyledi. Yeniden giriş, saldırganların varlıkları çalmak için bir protokole tekrar tekrar çağrılar yaparak akıllı bir sözleşmeyi kandırmasına olanak tanıyan yaygın bir hatadır. Arama, akıllı sözleşme adresinin bir kullanıcının cüzdan adresiyle etkileşime girmesi için yetkilendirmedir.
Conic Finance, which went live on March 1, allows users to deposit tokens into its Omnipools, a new product that diversifies exposure across the Curve ecosystem while increasing rewards. The protocol attracted millions of dollars in capital shortly after going live, suggesting huge demand for such a product.
Each Omnipool allocates liquidity of a single asset into different Curve pools. All Curve liquidity provider (LP) tokens get staked on Convex to boost Curve (CRV) rewards earnings. Convex (CNX), another Curve ecosystem token, is also rewarded, as is Conic (CNC), Conic’s native token.
Meanwhile, Conic Finance developers tweeted that they were continuing to investigate the root cause of the exploit and were consulting with relevant parties.
Geliştiriciler, görünüşe göre hack’in gerçekleşmesine izin veren hatalı havuzu kapattıklarını eklediler. “Conic ön ucunda ETH Omnipool mevduatlarını devre dışı bıraktık” diye yazdılar.