Хакерская атака затронула контракт обмена токенов на EVM-сетях DeFi-протокола Ekubo, сообщили разработчики проекта.
Команда подчеркнула, что поставщики ликвидности не понесли убытков, а версия платформы в сети Starknet осталась вне зоны риска.
Пользователям рекомендовали отозвать все ранее выданные разрешения и предупредили о возможных фишинговых атаках.
По оценке специалистов проекта Blockaid, инцидент затронул вспомогательный кастомный контракт Ekubo в сети Ethereum. Предварительный ущерб оценивается примерно в 1,4 миллиона долларов США.
Риску подверглись только те пользователи, которые ранее предоставили разрешение на списание токенов конкретному контракту версии v2.
В Blockaid связывают уязвимость с ошибкой в механизме обратного вызова: вспомогательный контракт позволял хакеру подставлять произвольные параметры в транзакцию, в том числе адрес плательщика, тип токена и сумму списания.