基于雪崩的协议在闪电贷攻击中损失了 371 万美元

针对基于 Avalanche 的借贷协议 Nereus Finance 的闪电贷漏洞利用导致损失超过 300 万美元。

雪崩闪电贷款利用

价值 371,000 美元的美元硬币 (USDC) 通过智能合约漏洞从 Nereus Finance 中被抽走，区块链网络安全公司 Certik 周二发现了这一漏洞。 不久之后，Nereus 进入了损坏修复模式，并在周三发布了对这次攻击的深入剖析。 显然，攻击者利用来自 Aave 的 51 万美元闪电贷款来操纵单个区块的 AVAX/USDC Trader Joe LP 池价格。 结果，他们能够以 998,000 美元的价格产生 NXUSD（Nereus 的本地代币）的债务，而安全性为 508,000 美元。 偿还闪电贷后，犯罪者使用多个流动资金池将现金换成不同的资产，并将这些资产转入他们的私人钱包。 该漏洞的发生是由于 Avalanche 闪贷，鉴于最近对其母公司的市场操纵指控，这很有趣， Ava Labs.

团队进行验尸

Nereus 团队还迅速采取行动，通知执法部门、引进安全专业人员并制定缓解策略。 他们还清算并暂停了被滥用的 JLP 市场。 此外，该团队使用自有资金来偿还坏账，以消除对用户资金的所有潜在风险。 事后分析显示，在支持 AVAX/USDC Trader Joe LP 代币的新抵押品类型的价格计算中存在“遗漏的一步”。

前进的道路

该团队还声称该错误不会再发生，并表示， 

“该团队将修改我们的审计和安全实践，以确保未来不会发生此类事件。 虽然这个漏洞利用是一个糟糕的事件——协议面对这些类型的战斗测试并不少见。 随着我们即将大举扩张——我们将继续投资于我们的能力和风险缓解战略。”

谈到该项目的未来，该团队还透露曲线池已恢复平衡。 他们专注于通过追踪黑客进行恢复尝试，甚至提供 20% 的白帽奖励作为资金返还，没有提出任何问题。 他们还在开发不同的方法来追踪被盗的资金以追回它们。 

免责声明：本文仅供参考。 不提供或不打算将其用作法律，税务，投资，财务或其他建议。