Level Finance ha confirmado la pérdida de USD 1 millón debido a un contrato inteligente con errores

El exchange descentralizado Level Finance ha sufrido un fallo de seguridad que ha permitido a un atacante robar más de un millón de dólares del token nativo Level Finance (LVL) del exchange. 

Level Finance informó a sus 20,000 seguidores de Twitter que más de 214,000 tokens LVL del exchange habían sido drenados y cambiados por 3,345 Binance Coin (BNB), con un valor aproximado de USD 1.01 millones. 

An exploit targeted our Referral Controller Contract.

– 214k LVL tokens drained to exploiters address.
– Attacker swapped LVL to 3,345 BNB
– Exploit was isolated from other contracts.
– Fix to be deployed in 12 Hrs.
– LP’s and DAO treasury UNAFFECTED.

More details to follow.

— LEVEL Finance #RealYield (@Level__Finance) May 1, 2023

Según la firma de seguridad blockchain Peckshield, el contrato inteligente “LevelReferralControllerV2” de Level Finance contenía un error que permitía “repetidas reclamaciones de referencia” de la misma época. Esto fue confirmado por Level Finance en una declaración posterior realizada en Discord.

It seems the @Level__Finance‘s LevelReferralControllerV2 contract has a bug that allows for repeated referral claims from the same epoch. So far 214k LVLs have been drained and swapped into 3,345 BNB (~1M)

Here is an example hack tx: https://t.co/isqHhzFk1Z https://t.co/ikOWx2ezf6 pic.twitter.com/wlr5bFFf0R

— PeckShield Inc. (@peckshield) May 1, 2023

Mientras tanto, datos del explorador de cadenas Binance BSC Scan, el contrato de controlador V2 muestra múltiples llamadas de la función “reclamar múltiples” en las últimas 48 horas.

Al momento de redacción, la implementación del contrato no parece haber sido alterada desde el advenimiento del ataque, sin embargo, Level Finance dice que desplegará una nueva implementación del contrato de referencia en las próximas 12 horas.

El exchange también señaló que sus pools de liquidez y DAOs relacionados no se han visto afectados por el ataque.

Según DeDotFiSecurity en Twitter, el equipo dice que ha “cerrado temporalmente el programa de referidos”, lo que ha detenido el exploit.

En Discord, Level Finance dijo que el exploit había sido aislado de otros exploits y que los usuarios del exchange deberían “estar preparados para un post mortem completo”.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.

Sigue leyendo:

Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.