Clober, un marché décentralisé sur Base, a été exploité pour 133 ETH. L'équipe a offert au chapeau blanc des frais de 20 % pour retrouver l'accès aux fonds.
L'un des coffres-forts de liquidité de Clober, un DEX sur la chaîne de base, a récemment subi un exploit. Le pirate informatique a réussi à retirer 133 ETH enveloppés en une seule transaction.
🚨 URGENT : Alerte de faille de sécurité 🚨
Nous avons le regret d'informer notre communauté que le Clober Liquidity Vault a été compromis par une faille de sécurité.
Nous souhaitons rassurer nos utilisateurs sur le fait que le protocole Clober lui-même n'est pas affecté et que toutes les fonctionnalités de base continuent de fonctionner…
— Clober | CLOB DEX entièrement en chaîne (@CloberDEX) 10 décembre 2024
Après l’exploit, les fonds ont été renvoyés vers la chaîne principale Ethereum , qui propose de nombreuses voies de mélange ou d’échange.
Le protocole affirmait qu'aucune autre fonctionnalité du protocole n'était affectée et n'appelait pas les utilisateurs à prendre d'autres mesures supplémentaires.
Base est l'une des chaînes relativement plus sûres avec peu d'exploits signalés. Cependant, la croissance de son secteur DeFi a augmenté la fréquence des tentatives de vol de fonds précieux. Comme pour d’autres exploits, les fraudeurs peuvent tenter de publier des liens de phishing pour tenter de vider les portefeuilles.
En plus de Base, Clober a construit une version Arbitrum, qui n'est pas affectée par le hack. Clober Core et le testnet Mitosis sont également sûrs et ne seront ni gelés ni arrêtés.
Le coffre-fort en question a été vidé et aucun autre fonds n'est en danger. Le coffre-fort Clober V2 est toujours opérationnel et construit actuellement sa valeur verrouillée , sur la base des données Messari. Ce coffre-fort contient un peu plus de 17 000 $.
Malgré l’appel à des frais de chapeau blanc, le pirate informatique a conservé les fonds. L’équipe a contacté le pirate informatique directement via la chaîne Ethereum avec un message pour résoudre le problème.
Le projet travaille avec Match Systems pour une solution potentielle de chapeau blanc, dans laquelle le pirate informatique reçoit une commission mais restitue la majeure partie des liquidités.
Un pirate informatique a utilisé une faille de la fonction de gravure pour voler des fonds
Pour compléter l'exploit, le pirate informatique Clober n'a déposé que 2,87 ETH auprès de Binance. Après avoir retiré les fonds, ils ont traversé le pont du protocole Across, se retrouvant sur deux adresses Ethereum .
Les deux adresses ( 1 et 2 ) ont été créées spécifiquement pour la transaction relais afin de retirer les fonds de Base et sur le Ethereum .
Selon PeckShield, le piratage a été possible en raison de problèmes avec la fonction de gravure, qui permettait le retrait de l'appel.
Clober a proposé des carnets de commandes entièrement en chaîne
Clober est encore un protocole à un stade précoce avec une liquidité relativement faible. Son coffre-fort de liquidités est désormais pratiquement vide. Le protocole a également intégré la liquidité le 9 décembre, sur la base DeFi Llama. Le piratage s'est produit un jour plus tard, ce qui suggère que le pirate informatique a peut-être suivi de près le protocole.
Ces derniers jours, des exploits similaires ont été réalisés pour des sommes relativement modestes. Les événements récents ont exploité les failles logiques trac intelligents , conduisant à des tentatives relativement faciles de drainer des fonds.
Le récent exploit s'est produit quelques jours seulement après que Clober ait terminé un audit de sestracintelligents. Il a embauché Kupia Security pour l'audit, une société connue pour ses multiples bug bounties pour des projets de grande envergure.
Quelques jours seulement avant cela, Clober avait également annoncé son approche de coffre-fort de liquidité , qui visait à lisser l'activité DEX et les swaps. À l'époque, il se vantait que ses liquidités de 500 000 $ pourraient générer des volumes de 1,2 million de dollars en 24 heures, permettant ainsi de réaliser des transactions plus efficacement. C’est précisément cette liquidité disponible que l’exploiteur a emportée.
Le coffre-fort de liquidité Clober a été lancé pour la première fois sur Base il y a un peu plus d'une semaine, dans le but de remplacer les teneurs de marché automatisés (AMM) habituels pour les transactions DEX. Clober a également été très actif dans sa promotion, attirant particulièrement l'attention sur son approche ciblée en matière de liquidité et le potentiel de volumes élevés.
Clober a été lancé juste après que Base ait atteint un nouveau record de valeur verrouillée, son DeFi portant désormais 3,86 milliards de dollars en TVL. Clober vise à proposer un modèle similaire à Aerodrome, où la liquidité ciblée permet d'atteindre des volumes beaucoup plus élevés, en ciblant la fourchette de prix la plus courante pour les traders.
Clai de différence de fil : l'outil secret que les projets de crypto utilisent pour obtenir une couverture médiatique garantie
