Sei SEHR vorsichtig beim Interagieren mit nicht verifizierten @merkl_xyz Kampagnen. Ein böswilliger Akteur erstellt dreistellige APR-Anreize auf Sonic für die Einzahlung von USDC in ein Euler-Vault und entzieht alle Einlagen. So funktioniert es: Da Euler permissionless ist, konnte der Angreifer einen 'falschen' Markt mit scUSD als Sicherheiten und USDC als Schulden bereitstellen. Der Markt hat eine Einzahlungshöchstgrenze von 1 $ für scUSD - vollständig vom böswilligen Akteur in Anspruch genommen. Der scUSD-Oracle-Preis ist auf 1 Million $ pro Token festgelegt, was dem Angreifer ermöglicht, 700.000 USDC gegen einen einzigen scUSD (bei 70 % LTV) zu leihen. Der Angreifer kontrolliert das Oracle und kann den Preis weiter erhöhen, um bei Bedarf mehr Mittel zu extrahieren. Als Nächstes hat der Angreifer eine nicht verifizierte, gefälschte Kampagne auf Merkl erstellt, um Einlagen anzuziehen. Jeder USDC, der in diesen Markt eingezahlt wird, wird geliehen, in ETH umgetauscht und an @RAILGUN_Project überwiesen. Aktuelle Verluste: ungefähr 145.000 $, und steigend. Da der Angreifer das Vault nicht aktiv auf neue Einlagen überwacht, konnte 0xc0f8feab321f8ffe97666768451747d16da8cad5, ein Opfer, das zuvor USDC in dieses Vault eingezahlt hatte, USDC abheben, bevor der Angreifer es leihen konnte. Während wir nicht denken, dass @merkl_xyz oder @eulerfinance hier schuld sind, da beide die Kampagne/den Markt klar als nicht verifiziert kennzeichnen, sollte @merkl_xyz das Einzahlen in eine nicht verifizierte Kampagne wahrscheinlich viel unangenehmer gestalten, mit mehr Pop-up-Warnungen, nur um zu verhindern, dass dies in Zukunft passiert. Hauptbetreiber: 0x8ba913e764c5cc9b22ee63737841059ad9caac5f Letzter Empfänger vor Railgun: 0xa86399e78fb3d9fb5be053825a016e32d390fc12 Die Liste der Opfer ist hier zu finden: Kampagne (Betrug, nicht einzahlen): Euler-Markt (Betrug, nicht einzahlen): cc @zachxbt