Level Finance bevestigt $1 miljoen exploit

De beveiliging van de gedecentraliseerde exchange ‘Level Finance’ is geschonden, waardoor een aanvaller erin slaagde meer dan $1 miljoen aan oorspronkelijke Level Finance (LVL)-tokens van de exchange te stelen.

Meer dan 200.000 native tokens gestolen

Level Finance heeft zijn 20.000 volgers op Twitter op de hoogte gesteld van de diefstal van meer dan 214.000 LVL-tokens van de exchange, die vervolgens werden omgewisseld voor 3.345 Binance Coin (BNB) met een geschatte waarde van ongeveer $1,01 miljoen.

An exploit targeted our Referral Controller Contract.

– 214k LVL tokens drained to exploiters address.
– Attacker swapped LVL to 3,345 BNB
– Exploit was isolated from other contracts.
– Fix to be deployed in 12 Hrs.
– LP's and DAO treasury UNAFFECTED.

More details to follow.
— LEVEL Finance #RealYield (@Level__Finance) May 1, 2023

Het blockchain-beveiligingsbedrijf Peckshield heeft vastgesteld dat er een bug zat in het slimme contract genaamd “LevelReferralControllerV2” van Level Finance. Deze bug maakte het mogelijk om herhaalde verwijzingsclaims uit hetzelfde tijdperk te doen. In een latere verklaring op Discord heeft Level Finance dit bevestigd.

It seems the @Level__Finance's LevelReferralControllerV2 contract has a bug that allows for repeated referral claims from the same epoch. So far 214k LVLs have been drained and swapped into 3,345 BNB (~1M)

Here is an example hack tx: https://t.co/isqHhzFk1Z https://t.co/ikOWx2ezf6 pic.twitter.com/wlr5bFFf0R
— PeckShield Inc. (@peckshield) May 1, 2023

Liquiditeitspools niet aantetast door aanval

Volgens BSC Scan, een Binance chain explorer, zijn er in de afgelopen 48 uur meerdere oproepen van de “claim multiple”-functie gedaan in het v2-controllercontract.

Op dit moment lijkt de uitvoering van het contract niet te zijn gewijzigd sinds de aanval, maar Level Finance heeft aangekondigd dat het binnen de komende 12 uur een nieuwe implementatie van het verwijzingscontract zal uitvoeren. De exchange heeft ook benadrukt dat de liquiditeitspools en gerelateerde DAO’s niet zijn aangetast door de aanval.

Het team van de exchange heeft volgens DeDotFiSecurity op Twitter verklaard dat ze “het verwijzingsprogramma tijdelijk hebben afgesloten”, waardoor de exploit is gestopt.