Berhati-hatilah dalam berinteraksi dengan kampanye @merkl_xyz yang belum diverifikasi. Aktor jahat menciptakan insentif APR tiga digit di Sonic untuk menyetorkan USDC ke brankas Euler, dan menguras semua deposit. Beginilah cara kerjanya: Karena Euler tanpa izin, penyerang dapat menyebarkan pasar 'palsu' menggunakan scUSD sebagai jaminan dan USDC sebagai utang. Pasar memiliki batas setoran 1$ untuk scUSD - sepenuhnya diambil oleh aktor jahat. Harga oracle scUSD ditetapkan menjadi $1 juta per token, memungkinkan penyerang untuk meminjam 700.000 USDC terhadap satu scUSD (pada 70% LTV). Penyerang mengontrol oracle dan dapat menaikkan harga lebih lanjut untuk mengekstrak lebih banyak dana jika diperlukan. Selanjutnya, penyerang membuat kampanye palsu yang tidak diverifikasi di Merkl untuk menarik deposit. Setiap USDC yang disetorkan ke pasar ini dipinjam, ditukar ke ETH, dan ditransfer ke @RAILGUN_Project. Kerugian saat ini: sekitar $145.000, dan terus bertambah. Karena penyerang tidak secara aktif memantau brankas untuk setoran baru, hal itu memungkinkan 0xc0f8feab321f8ffe97666768451747d16da8cad5, korban yang sebelumnya menyetorkan USDC ke brankas ini, untuk menarik USDC sebelum penyerang berhasil meminjamnya. Meskipun kami tidak berpikir @merkl_xyz atau @eulerfinance yang bersalah di sini, karena keduanya dengan jelas menandai kampanye/pasar sebagai belum diverifikasi, kemungkinan @merkl_xyz akan membuat penyetoran ke kampanye yang tidak diverifikasi jauh lebih mengganggu dengan lebih banyak peringatan pop-up, hanya untuk mencegah hal ini terjadi di masa mendatang. Operator utama: 0x8ba913e764c5cc9b22ee63737841059ad9caac5f Penerima terakhir sebelum railgun: 0xa86399e78fb3d9fb5be053825a016e32d390fc12 Daftar korban dapat ditemukan di sini: Kampanye (SCAM, jangan deposit): Pasar Euler (SCAM, jangan setoran): cc @zachxbt