Хакеры вывели из пулов ликвидности протокола Levana 1,1 млн долларов за 13 дней От GetBlock Magazine

GetBlock Magazine — Что произошло? Протокол для торговли бессрочными свопами Levana на базе блокчейна Osmosis на протяжении 13 дней подвергался эксплойту. С 13 по 26 декабря хакеры вывели 10% резервов пулов ликвидности проекта на сумму свыше 1,1 млн долларов. Команда Levana обязалась компенсировать потери поставщикам ликвидности и приостановила возможность редактирования и создания новых позиций.

Отчет Levana

Что еще известно? Как сообщили разработчики Levana по итогам исследования, взломщики воспользовались уязвимостью, возникшей в период высокой нагрузки на сеть Osmosis, не позволившей пользователям Levana взаимодействовать с рынками, поскольку цена газа была недостаточной для проведения транзакций.

Это также привело к некорректному отображению цен в интегрированном в Levana оракуле Pyth, поскольку пользователи не могли обновить его контракт. В совокупности это позволило злоумышленникам манипулировать ценами и истощить пулы. При этом в самом Pyth уязвимости не было обнаружено, оракул «вел себя точно так, как ожидалось», пишут разработчики.

Существующие торговые позиции и прибыль остались нетронутыми, несмотря на эксплойт. Команда работает над исправлением бага, которое будет внедрено при обновлении кода в сетях, где функционирует Levana: Osmosis, Sei и Injective.

Osmosis представляет собой блокчейн первого уровня (L1), построенный в экосистеме Cosmos с использованием набор инструментов для программирования приложений Cosmos SDK и механизма консенсуса Tendermint.

В Levana пишут, что многие проблемы, с которыми столкнулся проект при работе с Osmosis, не являются следствием недостатков блокчейна, а скорее связаны с ограничениями Cosmos SDK и Tendermint при масштабировании и реализации усилий по обеспечению потребности активной базы пользователей.

Читайте оригинальную статью на сайте GetBlock Magazine

Платёж (передача криптовалюты между адресами) происходит без посредников и необратим — нет механизма отмены подтверждённой операции, включая случаи, когда платёж был отправлен на ошибочный или несуществующий адрес, или когда транзакцию сделали сторонние лица, которым стал известен закрытый ключ. Криптовалюту ни на конкретном адресе, ни в целом никто не может заблокировать (арестовать), даже временно, она всегда в распоряжении владельца закрытого ключа к данному адресу. Правда, технология мультиподписи позволяет добровольно привлечь третью сторону (арбитра) и реализовать «обратимые транзакции», которые могут происходить против воли одной из сторон. Более сложные условия (умные контракты) реализуются при помощи специальных сценарных языков