Додаток для управління ліквідністю Concentric став жертвою зловживання приватним ключем на мережі Arbitrum. Згідно з повідомленням на їхньому офіційному обліковому записі Х, протокол підтвердив інцидент, розкривши, що порушення безпеки виникло внаслідок цілеспрямованої атаки соціальної інженерії на одного з членів їхньої команди з доступом до гаманця для розгортання. Цей інцидент призвів до несанкціонованого доступу та подальшої експлуатації протоколу.
Згідно з звітом від фірми з блокчейн-безпеки CertiK, атака призвела до втрати, перевищуючи 1,6 мільйона доларів. Крім того, атакуючий гаманець пов'язаний з тим, який був захоплений в децентралізованій біржі OKX 13 грудня, що свідчить про потенційний зв'язок між двома подіями.
# Попередження CertiKSkynetAlert Ми спостерігали вразливість на @ConcentricFi на Arbitrum. Гаманець злоумисника пов'язаний із злоумисником OKX. Початкові збитки становлять приблизно $1,6 млн. — CertiK Alert (@CertiKAlert) 22 січня 2024 року.
Вектор атаки розпочався через складний соціальний інжиніринговий напад, що призвів до порушення розгортки гаманця - критично важливої складової інфраструктури Протоколу Concentric. Незважаючи на аудит захищених сховищ, протокол був вразливий, оскільки ці сховища можна було оновлювати. Атакувальник скористався цією функцією для оновлення сховищ, витворення нових маркерів LP та спустошення їх активів у сховищах.
Під час атаки на Concentric експлуататорський гаманець використовував функцію adminMint на контракті Concentric, створюючи токени CONE-1 і потім викликаючи "burn", щоб обміняти ці токени на кошти з AlgebraPool. Цей процес повторювався кілька разів, дозволяючи атакерові отримувати різні ERC-20 токени в обмін на Ether.
Компанія Concentric розпочинає розслідування разом з вченими-дослідниками з безпеки після порушення, обіцяє звіт про післямортем та план заходів щодо усунення проблеми.
Команда Concentric розпочала розслідування та залучила безпекових дослідників, щоб аналізувати інцидент, ідентифікувати зловмисників та впровадити заходи для запобігання майбутніх випадків. Протокол зобов'язався надати звіт після аналізу події, в якому буде описана вразливість та план щодо її вирішення.
Зловмисник зараз спрямовуєся на схвалення скриньок, будь ласка, відкликайте всі схвалення для цих адрес: https://t.co/3vTEWu23BJ https://t.co/KlZo5PqjlI - Concentric.fi (@ConcentricFi), 22 січня 2024 року
Крім того, Concentric прагне зберегти прозорість та інформувати та залучати громаду до процесу відновлення, пропонуючи цей детальний звіт. Команда зобов'язана вирішувати проблему та відновлювати цілісність Протоколу Concentric на Arbitrum. Користувачі рекомендовані бути в курсі оновлень від Concentric щодо інциденту та його вирішення.
"Ми щиро вибачаємося за незручності та переживання, які сталося внаслідок цього інциденту. Наша команда повністю зобов'язана вирішити цю проблему, реалізувати покращені заходи безпеки та відновити цілісність протоколу Concentric. Ми вдячні за вашу підтримку та розуміння протягом цього складного часу."
Крім того, Concentric закликає своїх користувачів відкликати згоди з усіх адрес сховищ, надаючи список в документах протоколу для полегшення цього процесу.
Продовжуються проблеми з безпекою в протоколах ліквідності; ConcentricFi та Gamma Strategies серед найновіших жертв.
У цьому році сталося кілька порушень безпеки, спрямованих на ліквідні протоколи, причиною яких стало напад на мережу Arbitrum, а останнім жертвою став Concentric.
У ранній період цього року протокол ліквідності, відомий як Gamma Strategies, став жертвою атаки, яка призвела до збитку в розмірі 3,4 мільйонів доларів. Це порушення було пов'язано з вразливістю у розумних контрактах, що стосуються невідповідностей у облікових механізмах для зарахування та зняття коштів. Зловмисники скористалися цією вразливістю, щоб вивести багато токенів, хоча сховища Gamma Strategies були розроблені, щоб захищати від флеш-позик.
Атака на компанію Gamma Strategies використала інший метод, і немає відомих зв'язків між двома випадками.
Запровадженням функції "концентрованої ліквідності" у 2021 році Uniswap став популярним засобом для децентралізованих бірж (DEX). Ця функція дозволяє постачальникам ліквідності встановлювати мінімальну та максимальну ціну своїх активів у пулах DEX, роблячи постачання ліквідності більш складним процесом. Користувачі звертаються до протоколів управління їх активами, що призводить до зростання популярності цих протоколів.
