Bądź BARDZO ostrożny podczas interakcji z niezweryfikowanymi kampaniami @merkl_xyz. Zły aktor tworzy trzycyfrowe zachęty APR na Sonic za wpłacanie USDC do skarbca Euler, a następnie wyciąga wszystkie depozyty. Oto jak to działa: Ponieważ Euler jest bezzezwoleniowy, napastnik mógł wdrożyć 'fałszywy' rynek, używając scUSD jako zabezpieczenia i USDC jako długu. Rynek ma limit depozytu wynoszący 1$ dla scUSD - całkowicie zajęty przez złego aktora. Cena orakla scUSD jest ustawiona na 1M$ za token, co pozwala napastnikowi pożyczyć 700,000 USDC w zamian za pojedyncze scUSD (przy 70% LTV). Napastnik kontroluje orakla i może podnieść cenę, aby wyciągnąć więcej funduszy, jeśli zajdzie taka potrzeba. Następnie napastnik stworzył niezweryfikowaną, fałszywą kampanię na Merkl, aby przyciągnąć depozyty. Każdy USDC wpłacony na ten rynek jest pożyczany, wymieniany na ETH i przekazywany do @RAILGUN_Project. Obecne straty: około 145,000$, i rosną. Ponieważ napastnik nie monitoruje aktywnie skarbca pod kątem nowych depozytów, pozwolił 0xc0f8feab321f8ffe97666768451747d16da8cad5, ofierze, która wcześniej wpłaciła USDC do tego skarbca, na wypłatę USDC, zanim napastnik zdążył je pożyczyć. Chociaż nie uważamy, że @merkl_xyz lub @eulerfinance ponoszą winę w tej sprawie, ponieważ obie wyraźnie oznaczają kampanię/rynek jako niezweryfikowane, @merkl_xyz powinno prawdopodobnie sprawić, aby wpłacanie do niezweryfikowanej kampanii było znacznie bardziej uciążliwe, z większą liczbą wyskakujących ostrzeżeń, aby zapobiec temu w przyszłości. Główny operator: 0x8ba913e764c5cc9b22ee63737841059ad9caac5f Ostateczny odbiorca przed railgun: 0xa86399e78fb3d9fb5be053825a016e32d390fc12 Lista ofiar znajduje się tutaj: Kampania (OSZUSTWO, nie wpłacaj): Rynek Euler (OSZUSTWO, nie wpłacaj): cc @zachxbt