阿里快讯(Alibtc.com)讯:据专门即时追踪链上攻击事件的推特账号Certi KAlert,今(7)日早上8点发推文,发现在雪崩链上发现一个合约通过雪崩链(Avalanche),借5,100万美元闪电贷攻击套利并转走37万枚USDC,当中涉及去中心化交易所Trader Joe、Defi协议Nereus Finance、稳定币兑换协议Curve Finance。
37万USDC跨链转出后下落不明
黑客部署合约,操作合约地址从Aave协议借出5,100万枚USDC,通过Trader Joe的协议,先后把28,000和260,000换成WAVEX,然后再换成Nereus Finance的算法稳定币NXUSD,再通过Curve Finance换入再换出,最后把借来的5,100万USDC全数还给AAVE,还款全数完成后将余额37万USDC转至0x8ec开头地址。
而得手钱包中的37万USDC,当中有9万跨链到以太坊转走,另外23万则通过跨链桥Stargate转至其他链,如今钱包只剩约2,711枚AVAX(等值$49,777.57美元)。
疑NereusFinance代码出现漏洞
推特用户@0xEdwardo在CertiKAlert推文下推测Nereus Finance的协议中Abracadabra代码存在未经授权的分支,以致黑客有机可乘。此外,他又确认没有出现通过MIM进行LP代币价格操纵影响的情况。
Nereus Finance官方截稿前未有回应
值得留意的是,Nereus Finance昨(6)晚推出利用Trader Joe的USDC/AVAX JOE LP代币,可零利息借用其算法稳定币NXUSD。