" Децентрализованная биржа QuickSwap на блокчейне Polygon потеряла 200 000 долларов из-за эксплоита, который использовал флэш-кредиты для атаки на уязвимость с манипулированием ценой на Curve Oracle.
По данным QuickSwap, эксплойт произошел на рынке кредитования Market XYZ, который был единственной скомпрометированной платформой. Первоначально атаку была связана с Qi DAO, выпускающей стейблкоин miMATIC, сообщила компания PeckShield. Позже компания по безопасности и аналитике объяснила атаку эксплойтом QuickSwap.
Позже DEX подтвердила, что 220 000 долларов были украдены с помощью мгновенных кредитов, и теперь кредитная платформа QuickSwap должна быть закрыта. Обновление было обещано рано утром в понедельник, но пользователям пришлось ждать около 12 часов, чтобы прояснить ситуацию.
«Мы призываем пользователей со средствами, депонированными на открытых рынках Market xyz на QuickSwap, вывести их сейчас, поскольку мы находимся в процессе их закрытия», — написал QuickSwap в твиттере.
«Это проблема манипулирования ценами. Рынок miMATIC использует CurvePoolOracle для подачи цен, которыми манипулируют для заимствования средств с рынка», — написала в твиттере PeckShield.
Судя по анализу PeckShield, эксплойт манипулировал ценами для заимствования средств по завышенной ставке. Затем хакер перевел средства обратно в Ethereum, а затем отправил их на Tornado Cash — сервис микширования, на который в августе были наложены санкции Казначейства США.
По словам QuickSwap, средства пользователей не были скомпрометированы.
