Soyez TRÈS prudent lors de l'interaction avec des campagnes @merkl_xyz non vérifiées. Un acteur malveillant crée des incitations APR à trois chiffres sur Sonic pour déposer des USDC dans un coffre Euler, et vide tous les dépôts. Voici comment cela fonctionne : Comme Euler est sans autorisation, l'attaquant a pu déployer un marché 'faux' en utilisant scUSD comme garantie et USDC comme dette. Le marché a un plafond de dépôt de 1 $ pour scUSD - entièrement pris par l'acteur malveillant. Le prix oracle de scUSD est fixé à 1M $ par jeton, permettant à l'attaquant d'emprunter 700 000 USDC contre un seul scUSD (à 70 % LTV). L'attaquant contrôle l'oracle et peut augmenter le prix davantage pour extraire plus de fonds si nécessaire. Ensuite, l'attaquant a créé une campagne non vérifiée et fausse sur Merkl pour attirer des dépôts. Tout USDC déposé sur ce marché est emprunté, échangé contre de l'ETH, et transféré à @RAILGUN_Project. Pertes actuelles : environ 145 000 $, et en augmentation. Comme l'attaquant ne surveille pas activement le coffre pour de nouveaux dépôts, cela a permis à 0xc0f8feab321f8ffe97666768451747d16da8cad5, une victime qui avait précédemment déposé des USDC dans ce coffre, de retirer des USDC avant que l'attaquant ne parvienne à les emprunter. Bien que nous ne pensons pas que @merkl_xyz ou @eulerfinance soient en faute ici, car ils signalent clairement la campagne/le marché comme non vérifié, @merkl_xyz devrait probablement rendre le dépôt dans une campagne non vérifiée beaucoup plus ennuyeux avec plus d'avertissements pop-up, juste pour éviter que cela ne se reproduise à l'avenir. Opérateur principal : 0x8ba913e764c5cc9b22ee63737841059ad9caac5f Destinataire final avant railgun : 0xa86399e78fb3d9fb5be053825a016e32d390fc12 La liste des victimes peut être trouvée ici : Campagne (ESCROQUERIE, ne déposez pas) : Marché Euler (ESCROQUERIE, ne déposez pas) : cc @zachxbt