Ten MUCHO cuidado al interactuar con campañas no verificadas de @merkl_xyz. Un actor malicioso está creando incentivos de APR de tres dígitos en Sonic por depositar USDC en un vault de Euler, y drena todos los depósitos. Así es como funciona: Como Euler es sin permisos, el atacante pudo desplegar un mercado 'falso' usando scUSD como colateral y USDC como deuda. El mercado tiene un límite de depósito de 1$ para scUSD - completamente tomado por el actor malicioso. El precio del oráculo de scUSD está fijado en $1M por token, lo que permite al atacante pedir prestados 700,000 USDC contra un solo scUSD (con un LTV del 70%). El atacante controla el oráculo y puede aumentar el precio aún más para extraer más fondos si es necesario. A continuación, el atacante creó una campaña no verificada y falsa en Merkl para atraer depósitos. Cualquier USDC depositado en este mercado es prestado, intercambiado por ETH y transferido a @RAILGUN_Project. Pérdidas actuales: aproximadamente $145,000, y en aumento. Como el atacante no está monitoreando activamente el vault para nuevos depósitos, permitió que 0xc0f8feab321f8ffe97666768451747d16da8cad5, una víctima que previamente depositó USDC en este vault, retirara USDC antes de que el atacante pudiera pedirlo prestado. Si bien no creemos que @merkl_xyz o @eulerfinance sean culpables aquí, ya que ambos señalan claramente la campaña/mercado como no verificado, @merkl_xyz debería hacer que depositar en una campaña no verificada sea mucho más molesto con más advertencias emergentes, solo para prevenir que esto suceda en el futuro. Operador principal: 0x8ba913e764c5cc9b22ee63737841059ad9caac5f Receptor final antes de railgun: 0xa86399e78fb3d9fb5be053825a016e32d390fc12 La lista de víctimas se puede encontrar aquí: Campaña (ESTAFA, no depositar): Mercado de Euler (ESTAFA, no depositar): cc @zachxbt