Edel Finance Exploit legt Oracle-kwetsbaarheid bloot, laat gat van $403K achter
Hacked

Edel Finance Exploit legt Oracle-kwetsbaarheid bloot, laat gat van $403K achter

Door dutchlbn

Edel Finance verliest $403K door een flashlening-oracle-exploit. V1 blijft gepauzeerd terwijl Edel volledig 1:1 herstel voor deposanten belooft.

Edel Finance verloor ongeveer $403.000 nadat een aanvaller een on-chain prijsoracle manipuleerde. Blockchain-beveiligingsbedrijf Blockaid signaleerde de exploit terwijl deze zich ontvouwde.

De aanvaller gebruikte een flashlening om de wisselkoers tussen twee wrapped-aandelentokens te verstoren. Die verstoring stelde de aanvaller in staat om te lenen tegen onderpand dat veel meer waard was dan het had mogen zijn.

Edel bevestigde het incident uren later en ondernam stappen om de schade te beperken.

Lees ook:

https://www.livebitcoinnews.com/humanity-protocol-confirms-36m-exploit-after-employee-laptop-breach-h-token-crashes-90/

Hoe de Oracle-manipulatie de onderpandwaarde opdreef

Blockaid traceerde de exploit naar Edel’s xStock-uitleenreserves.

De aanvaller manipuleerde de wisselkoers tussen wGOOGLx en GOOGLx, twee wrapped versies van een getokeniseerd aandelenproduct. Die manipulatie dreef de gerapporteerde waarde van wGOOGLx-onderpand op tot ongeveer 78 keer de juiste prijs.

Nu het onderpand veel waardevoller leek dan het in werkelijkheid was, leende de aanvaller er zwaar tegen. Het resultaat was ongeveer $403.000 aan slechte schulden op de boeken van het protocol.

De aanvaller zette specifiek voor deze aanval nieuwe exploitcontracten in, aldus Blockaid. Geld dat uit de reserves werd gehaald, ging snel via Tornado Cash, een mengdienst die vaak wordt gebruikt om het spoor van gestolen crypto te verdoezelen.

Etherscan-gegevens tonen de exploittransactie en het walletadres dat aan de aanvaller is gekoppeld, waardoor onderzoekers een startpunt hebben om de fondsen verder te volgen.

Edel-team pauzeert V1 en belooft volledig herstel voor deposanten

Edel Finance bevestigde dat de exploit specifiek Edel Lending trof. Het team zei dat het probleem dezelfde dag werd geïdentificeerd en ingedamd.

Alle V1-contracten werden onmiddellijk na detectie gepauzeerd en de V1-implementatie blijft offline. Gebruikers wordt geadviseerd geen interactie met V1 te hebben zolang de pauze van kracht is.

Het team zei dat het relevante protocolgegevens bewaarde om te bepalen welke saldi waren getroffen. Edel verklaarde dat geen enkele deposant geld zal verliezen als gevolg van het incident.

Het team is van plan de slechte schulden direct op te vangen en de getroffen saldi op 1:1-basis te herstellen zodra het proces is voltooid.

Edel V2-uitrol en een whitehat-schikkingsaanbod

Edel implementeert een nieuwe versie van het protocol, V2, met een herontworpen oracle-architectuur. Het team zei dat het nieuwe ontwerp zich richt op het specifieke type wisselkoersmanipulatie dat bij deze aanval werd gebruikt.

Herstelde saldi worden direct beschikbaar in de Edel-applicatie zodra de V2-implementatie en het saldoherstelproces zijn voltooid. Het team heeft nog geen vaste tijdlijn voor die uitrol gedeeld.

Edel zei dat het de transacties van de aanvaller heeft getraceerd en coördineert met beurzen en ecosysteempartners. Het team deed ook een formeel whitehat-schikkingsaanbod aan de aanvaller, met een bepaald tijdsvenster om de resterende fondsen terug te geven in ruil voor een geautoriseerde security bounty.

Bovendien, wordt een volledige technische post-mortem verwacht die het exploittraject en de hoofdoorzaak behandelt.

Edel verwees naar EIP-01 als een relevante volgende stap, een voorstel dat governance zou introduceren over protocolrisicoparameters en ondersteund onderpand. Het team zei dat de onmiddellijke focus blijft op indamming, herstel van deposanten en voortdurende transparantie totdat getroffen saldi volledig zijn hersteld.

dutchlbn

Over de auteur

dutchlbn

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *