Протокол децентралізованих фінансів (DeFi) Conic Finance заявив у п’ятницю, що один з його омніпулів був скомпрометований вразливістю, яка дозволила зловмиснику заволодіти 1700 ефірів (ETH), що за поточним курсом становить понад $3,6 млн.

Першопричиною атаки, за даними компанії BlockSec, стала маніпуляція цінами, спричинена “повторним входом в систему лише для читання”. Повторний вхід – це поширений дефект, який дозволяє зловмисникам обдурити смарт-контракт шляхом багаторазового виклику протоколу з метою отримання грошей. Виклик – це запит на взаємодію з адресою гаманця користувача з адреси смарт-контракту.

We are currently investigating an exploit involving the ETH Omnipool and will share updates as soon as they are available.

— Conic Finance (@ConicFinance) July 21, 2023

Тепер користувачі можуть вносити токени в Omnipools від Conic Finance – новий продукт, який збільшує виплати, одночасно диверсифікуючи ризики в екосистемі Curve. Omnipools були запущені 1 березня. Незабаром після запуску протокол зібрав мільйони доларів інвестицій, що свідчить про величезний попит на такий продукт.

Кожен омніпул розподіляє ліквідність одного активу між різними пулами Curve. Щоб збільшити потенціал заробітку від заохочень Curve (CRV), всі токени постачальників ліквідності Curve (LP) ставляться на Convex. Винагороду отримують як Conic (CNC), власний токен Conic, так і Convex (CNX), інший токен в екосистемі Curve.

Інженери Conic Finance заявили, що вони все ще з’ясовують причини експлойту та спілкуються з відповідними сторонами.
Програмісти також повідомили, що відключили проблемний пул, який імовірно уможливив атаку. “Ми відключили депозити ETH Omnipool на фронт-енді Conic”, – заявили вони.