" Согласно официальному аккаунту протокола на X, приложение-менеджер ликвидности Concentric подверглось эксплоиту в сети Arbitrum.
Злоумышленник использовал «атаку социальной инженерии», чтобы скомпрометировать закрытый ключ учетной записи развертывателя протокола, который затем использовался для «обновления хранилищ, создания новых токенов LP и последующего опустошения хранилищ их активов», заявила команда.
Concentric призывает пользователей отозвать разрешения со всех адресов хранилищ, которые они перечисляют в документах протокола.
«Злоумышленник теперь нацелен на одобрения хранилищ. Отзовите все разрешения», – говорится в сообщении Concentric.fi (@ConcentricFi) 22 января 2024 г.
Согласно отчету платформы безопасности блокчейна CertiK, в результате атаки на данный момент было потеряно более 1,8 миллиона долларов. Атакующий кошелек «связан» с кошельком, который 13 декабря осуществил эксплоит децентрализованной биржи OKX, заявила CertiK, подразумевая, что обе атаки могли быть осуществлены одним и тем же человеком или группой.
Кошелек злоумышленника вызвал функцию adminMint в концентрическом контракте, отчеканив 0,001 токена CONE-1. Затем он вызвал функцию «сжигания», чтобы обменять токены CONE-1 на средства из AlgebraPool. Этот процесс повторялся несколько раз, что позволило злоумышленнику получить несколько токенов ERC-20, которые впоследствии он обменял на эфир (ETH).
Команда Concentric заявила, что начала расследование и как можно скорее опубликует отчет о вскрытии. В отчете команда предоставит план устранения уязвимости.
«Наша команда полностью привержена решению этой проблемы и восстановлению целостности протокола Concentric», — говорится в заявлении.
Протоколы управления ликвидностью используются для установки минимальных и максимальных цен и для ребалансировки пулов ликвидности на децентрализованной бирже (DEX). Их популярность начала расти после того, как в 2021 году Uniswap выпустила функцию «концентрированной ликвидности», которая позволила поставщикам ликвидности устанавливать минимальную и максимальную цену, по которой можно торговать их активами. Это усложнило предоставление ликвидности, в результате чего некоторые пользователи стали использовать протоколы управления для контроля своих активов.
Другой менеджер ликвидности, Gamma Protocol, подвергся атаке 4 января и потерял почти 500 000 долларов США из-за уязвимости смарт-контракта. В этих двух атаках использовались разные методы и, похоже, они не связаны между собой.
