Aplikasi pengurus likuiditi Concentric telah dieksploitasi di Arbitrum, mengikut akaun rasmi protokol X. Penyerang menggunakan serangan "kejuruteraan sosial" untuk mengkompromi kunci peribadi akaun penghantar protokol, yang kemudian digunakan untuk "menaik taraf kubah, mencetak token LP baru, dan seterusnya mengosongkan kubah-kubah tersebut dari aset mereka," kata pasukan tersebut.
Concentric menggesa pengguna untuk mencabut kelulusan dari semua alamat kubah, yang mereka senaraikan dalam dokumen protokol tersebut.
Penyerang kini menumpukan kelulusan pada kubah-kubah, sila cabut semua kelulusan kepada alamat-alamat berikut:https://t.co/3vTEWu23BJ https://t.co/KlZo5PqjlI
â Concentric.fi (@ConcentricFi) 22 Januari 2024
Menurut laporan daripada platform keselamatan blockchain CertiK, lebih daripada $1.8 juta telah hilang sejauh ini dalam serangan tersebut. Dompet penyerang "berhubung dengan" dompet yang melakukan pengeksploitasi pertukaran terdesentralisasi OKX pada 13 Disember, kata CertiK, menunjukkan bahawa kedua-dua serangan mungkin dilakukan oleh orang atau kumpulan yang sama.
Dompet penyerang memanggil fungsi adminMint pada kontrak Concentric, mencetak token CONE-1 sebanyak 0.001. Mereka kemudian memanggil "burn" untuk menebus token CONE-1 dengan dana dari AlgebraPool. Proses ini diulangi beberapa kali, membolehkan penyerang mendapatkan beberapa token ERC-20, yang kemudian ditukar dengan Ether (ETH).
#CertiKSkynetAlert
â CertiK Alert (@CertiKAlert) 22 Januari 2024
Kami telah melihat pengeksploitasi pada @ConcentricFi di Arbitrum
Dompet penyerang berhubung dengan Pengeksploitasi OKX
Kerugian awal kelihatan sekitar ~$1.6 jutahttps://t.co/t9liWxo3jz
Pasukan Concentric mengatakan mereka telah memulakan siasatan dan akan mengeluarkan laporan post-mortem secepat mungkin. Dalam laporan tersebut, pasukan akan menyediakan pelan untuk menangani kerentanan tersebut. "Pasukan kami sepenuhnya berkomitmen untuk menyelesaikan isu ini dan mengembalikan integriti protokol Concentric," kata Concentric.
Berkaitan: Penyerangan CoinEx: Kunci peribadi yang dikompromi menyebabkan kecurian $70 juta
Protokol pengurusan likuiditi digunakan untuk menetapkan harga minimum dan maksimum serta menyeimbangkan kubah likuiditi dalam pertukaran terdesentralisasi (DEX). Mereka mula mendapat populariti selepas Uniswap melancarkan ciri "likuiditi terumpu" pada tahun 2021, yang membolehkan penyedia likuiditi menetapkan harga minimum dan maksimum di mana aset mereka boleh diperdagangkan. Ini menjadikan penyediaan likuiditi lebih kompleks, menyebabkan beberapa pengguna menggunakan protokol pengurusan untuk mengendalikan aset mereka.
Pengurus likuiditi lain, Gamma Protocol, telah diserang pada 4 Januari dan dikosongkan hampir $500,000 melalui kerentanan kontrak pintar. Kedua-dua serangan menggunakan kaedah yang berbeza dan tidak nampak berkaitan.