导语:Level Finance加密货币交易所被黑,已安全审计2次,损失约110万美元。
Level Finance加密货币交易所被黑,已安全审计2次,损失约110万美元。
事件分析
Level Finance是一家基于 BNB Chain 的去中心化交易所平台。近日,黑客利用Level Finance的智能合约漏洞从该交易所窃取了21.4万 LVL token(Level Finance代币),并将其转化为3345 BNB,价值约110万美元。
Level Finance称该攻击不影响其流动池和DAO treasury(DAO 金库),且漏洞利用的合约与其他合约是隔离的。Level Finance称将会在调查清楚后采取进一步行动,DAO发布了一个关于社区应该如何处理这21.4万 LVL token的投票。
区块链安全和数据分析公司PeckShield 称被黑的智能合约为LevelReferralControllerV2,该合约的claimMultiple函数存在逻辑漏洞,允许用户在一定时间内重复索取奖励(claim reward)。
图 有漏洞的合约代码
智能合约审计公司BlockSec 也得到了同样的结论,称黑客上周以来多次尝试利用该漏洞但失败了。攻击者做了如下的准备工作:创建和设置多个推荐人,使用flashloan来执行多次兑换。攻击者通过创建多个推荐账户和flashloan来最大化其收益。攻击者没做一次兑换都可以获得奖励。
最终,攻击者于5月1日成功执行了正确的攻击步骤,并成功获利110万美元。
审计并不等于安全
虽然Level Finance采取了多项措施来保护用户安全,比如2023年就采购了2家独立公司的安全审计服务。但黑客仍然成功利用了其中未被发现的安全漏洞来发起攻击。
4月,DEX Merlin也由于安全漏洞损失了约182万美元。安全事件发生时间与其宣布通过区块链安全公司CertiK的安全审计时间仅相隔数天。
本文翻译自:https://www.bleepingcomputer.com/news/security/level-finance-crypto-exchange-hacked-after-two-security-audits/如若转载,请注明原文地址