Die dezentrale Börse “Level Finance” wurde gehackt, wodurch ein Angreifer mehr als 1 Million Dollar in nativen Level Finance (LVL) Token von der Börse stehlen konnte.
Mehr als 200.000 native Token gestohlen
Level Finance informierte seine 20.000 Follower auf Twitter über den Diebstahl von mehr als 214.000 LVL-Token von der Börse, die dann in 3.345 Binance Coin (BNB) mit einem geschätzten Wert von etwa 1,01 Millionen Dollar umgetauscht wurden.
An exploit targeted our Referral Controller Contract.
– 214k LVL tokens drained to exploiters address.
– Attacker swapped LVL to 3,345 BNB
– Exploit was isolated from other contracts.
– Fix to be deployed in 12 Hrs.
– LP’s and DAO treasury UNAFFECTED.More details to follow.
— LEVEL Finance #RealYield (@Level__Finance) May 1, 2023
Das Blockchain-Sicherheitsunternehmen Peckshield hat einen Fehler im Smart Contract von Level Finance namens “LevelReferralControllerV2” entdeckt. Dieser Fehler ermöglichte wiederholte Überweisungsansprüche aus derselben Zeit. In einer anschließenden Erklärung auf Discord bestätigte Level Finance dies.
It seems the @Level__Finance‘s LevelReferralControllerV2 contract has a bug that allows for repeated referral claims from the same epoch. So far 214k LVLs have been drained and swapped into 3,345 BNB (~1M)
Here is an example hack tx: https://t.co/isqHhzFk1Z https://t.co/ikOWx2ezf6 pic.twitter.com/wlr5bFFf0R
— PeckShield Inc. (@peckshield) May 1, 2023
Liquiditätspools nicht von Angriff betroffen
Laut BSC Scan, einem Binance-Chainexplorer, gab es in den letzten 48 Stunden mehrere Aufrufe der “claim multiple”-Funktion im v2-Controller-Vertrag.
Im Moment scheint sich die Implementierung des Vertrags seit dem Angriff nicht geändert zu haben, aber Level Finance hat angekündigt, dass es innerhalb der nächsten 12 Stunden eine neue Implementierung des Überweisungsvertrags durchführen wird. Die Börse hat auch betont, dass ihre Liquiditätspools und die damit verbundenen DAOs nicht von dem Angriff betroffen sind.
Laut DeDotFiSecurity teilte das Team der Börse auf Twitter mit, dass sie “das Partnerprogramm vorübergehend abgeschaltet” haben, um den Exploit zu stoppen.