Протокол децентрализованных финансов (DeFi) Conic Finance заявил в пятницу, что один из его омнипулов был скомпрометирован уязвимостью, которая позволила злоумышленнику завладеть 1700 эфиров (ETH), что по текущему курсу составляет более $3,6 млн.

Первопричиной атаки, по данным компании BlockSec, стала манипуляция ценами, вызванная “повторным входом в систему только для чтения”. Повторный вход – это распространенный дефект, который позволяет злоумышленникам обмануть смарт-контракт путем многократного вызова протокола с целью получения денег. Вызов – это запрос на взаимодействие с адресом кошелька пользователя с адреса смарт-контракта.

We are currently investigating an exploit involving the ETH Omnipool and will share updates as soon as they are available.

— Conic Finance (@ConicFinance) July 21, 2023

Теперь пользователи могут вносить токены в Omnipools от Conic Finance – новый продукт, который увеличивает выплаты, одновременно диверсифицируя риски в экосистеме Curve. Omnipools были запущены 1 марта. Вскоре после запуска протокол собрал миллионы долларов инвестиций, что свидетельствует об огромном спросе на такой продукт.

Каждый омнипул распределяет ликвидность одного актива между различными пулами Curve. Чтобы увеличить потенциал заработка от поощрений Curve (CRV), все токены поставщиков ликвидности Curve (LP) ставятся на Convex. Вознаграждение получают как Conic (CNC), собственный токен Conic, так и Convex (CNX), другой токен в экосистеме Curve.

Инженеры Conic Finance заявили, что они все еще выясняют причины эксплойта и общаются с соответствующими сторонами.Программисты также сообщили, что отключили проблемный пул, который предположительно сделал возможной атаку. “Мы отключили депозиты ETH Omnipool на фронт-энде Conic”, – заявили они.