Nereus Finance, un protocollo di lending basato su Avalanche, è stato vittima di un'abile hacking che ha permesso a un utente di ottenere 371.000$ di USD Coin (USDC) grazie a un exploit di uno smart contract.

CertiK, società di cybersicurezza blockchain, è stata una delle prime a rilevare l'exploit il 6 settembre, precisando che l'attacco ha colpito i pool di liquidità su Nereus relativi all'exchange decentralizzato Trader Joe e al market maker automatizzato Curve Finance.

CertiK ha anche ipotizzato che fossero stati impattati i protocolli sottostanti, ma Curve Finance ha risposto via Twitter il 7 settembre, affermando che "forse intendevate 'asset impattati', non 'protocolli impattati'. Solo @nereusfinance e i suoi asset sembrano essere stati colpiti".

Il 7 settembre Nereus Finance ha pubblicato una relazione dettagliata sull'incidente, spiegando che un "exploiter" è stato in grado di distribuire uno smart contract personalizzato e ha utilizzato un flash loan da 51 milioni di dollari su Aave per manipolare artificialmente il prezzo del pool AVAX/USDC Trader Joe LP (JLP), per un singolo blocco.

Abbiamo pubblicato un post-mortem sull'incidente NXUSD di ieri. https://t.co/ADhu6PagP2
Grazie @peckshield @CertiK

— Nereus Finance (@nereusfinance) September 7, 2022

Di conseguenza, l'hacker anonimo è stato in grado di mintare 998.000$ del token nativo di Nereus, NXUSD, a fronte di 508.000$ di collaterale. Hanno poi swappato questo capitale in diversi asset attraverso vari pool di liquidità e sono riusciti a ottenere un profitto netto di 371.406 $ una volta restituito il flash loan. 

L'incidente si è concluso con la creazione di 500.000$ di "debiti inesigibili" NXUSD nel protocollo NXUSD. Il team di Nereus afferma di essere stato rapido nel porre rimedio alla situazione; dopo aver consultato esperti di sicurezza, sviluppato un piano di contenimento e informato le forze dell'ordine, ha liquidato e messo in pausa il JLP exploitato.

Il debito inesigibile è stato pagato utilizzando NXUSD dalla tesoreria del team.

Secondo Nereus, l'exploit è stato causato da un "passo falso" nel calcolo del prezzo, che ha creato l'opportunità di essere sfruttato. Tuttavia, ha sottolineato che "nessun fondo degli utenti è a rischio, e NXUSD continua a essere sovra-collateralizzato" e che "il protocollo di Lending and Borrowing non è stato colpito da questo exploit".

Nereus è inoltre fiduciosa che lo stesso exploit non sarà possibile una seconda volta, poiché il team modificherà le sue "pratiche di controllo e sicurezza per garantire che questo tipo di eventi non si verifichino in futuro":

"Sebbene questo exploit sia un brutto incidente, non è raro che i protocolli debbano affrontare questo tipo di battaglie".

Al momento, il team di Nereus sta cercando di identificare l'hacker e di rintracciare i capitali e ha offerto una ricompensa White Hat del 20% per la restituzione dei fondi, senza fare domande.

Nonostante il recente flash loan exploit e diversi altri incidenti degni di nota nel corso dell'anno, il rapporto mensile Skynet Alerts di CertiK dell'agosto 2022, pubblicato il 2 settembre, afferma che c'è stata una notevole diminuzione di questo tipo di attacchi.

Rispetto al mese precedente, agosto ha visto un calo del 95% degli attacchi flash loan, che hanno portato a una perdita totale di 745.244$, la seconda più bassa di quest'anno. Febbraio è ancora il mese con la perdita più bassa registrata a causa di flash loan exploit, con soli 200.000$.