Les pirates ont exploité une vulnérabilité de contrat intelligent Level Finance pour drainer 214 000 jetons LVL de l’échange décentralisé et les ont échangés contre 3 345 BNB, d’une valeur d’environ 1 100 000 $.
Alors que Level Finance a déclaré que l’attaque n’affectait pas son pool de liquidités et la trésorerie du DAO, et que l’exploit était isolé de tous les autres contrats, le jeton LVL a perdu environ 50 % de sa valeur immédiatement après la révélation de l’attaque.
La société a promis de fournir des mises à jour sur la situation dès que l’enquête en révélera plus. Le DAO a depuis publié une proposition demandant des votes sur la manière dont la communauté devrait gérer les jetons 214K LVL ajoutés à la circulation par l’attaque.
La société de sécurité et d’analyse de données Blockchain PeckShield a expliqué que le contrat intelligent violé, « LevelReferralControllerV2 », avait un bogue logique dans la fonction claimMultiple qui permet aux utilisateurs de réclamer à plusieurs reprises des récompenses de parrainage au cours de la même époque (période de temps).
L’auditeur de contrats intelligents BlockSec est parvenu à la même conclusion, ajoutant que le pirate informatique avait tenté d’exploiter la faille à plusieurs reprises depuis la semaine dernière et avait échoué.
« Plus précisément, la récompense de réclamation était déterminée par le niveau de points de parrainage et de récompense, c’est pourquoi l’attaquant a effectué la préparation suivante : 1) créer et définir de nombreux parrainages ; 2) utiliser un prêt flash pour effectuer des dizaines d’échanges (la récompense a été mise à jour dans le postSwap fonction) », a expliqué BlockSec sur Twitter.
L’attaquant a créé plusieurs comptes de parrainage pour maximiser les récompenses qu’il pourrait obtenir en exploitant le bug du contrat intelligent.
Les prêts flash (emprunt et retour en une seule transaction) ont été utilisés pour amplifier davantage les récompenses de parrainage, permettant à l’attaquant d’effectuer des dizaines d’échanges d’un jeton à un autre, obtenant une récompense pour l’action à chaque fois.
Finalement, l’attaquant a effectué les étapes correctes hier et a lancé le piratage qui leur a rapporté 1,1 million de dollars.
Audité ne signifie pas sécurisé
Bien que Level Finance ait fait de son mieux pour protéger les actifs en commandant deux audits à des cabinets indépendants, le pirate a tout de même trouvé un moyen d’exploiter le code pour voler de l’argent en utilisant des bogues manqués.
Cependant, alors que Level Finance a été audité deux fois en 2023, il n’est pas clair si la fonction vulnérable a été auditée ou ajoutée par la suite.
Les audits de sécurité ne sont ni à l’épreuve des balles ni ne doivent être traités comme une assurance de sûreté et de sécurité, comme nous l’avons vu à plusieurs reprises dans le passé.
La semaine dernière, DEX Merlin a été compromis en raison d’un « défaut majeur dans l’intégrité structurelle et les contrôles de la plate-forme », perdant 1,82 million de dollars que des initiés voyous ont drainé de son pool de liquidités. Cela s’est produit quelques jours seulement après que DEX Merlin a annoncé un audit réussi par la société de sécurité blockchain CertiK.
L’année dernière, la plate-forme musicale décentralisée Audius a perdu 6 millions de dollars de jetons après qu’un attaquant a exploité une faille dans un système qui avait subi deux évaluations de sécurité approfondies par des auditeurs distincts depuis son introduction.