Будьте ОЧЕНЬ осторожны при взаимодействии с непроверенными кампаниями @merkl_xyz. Плохой актер создает трехзначные APR стимулы на Sonic за депозит USDC в хранилище Euler и выводит все депозиты. Вот как это работает: Поскольку Euler не требует разрешений, злоумышленник смог развернуть "фальшивый" рынок, используя scUSD в качестве залога и USDC в качестве долга. У рынка есть лимит на депозит в 1$ для scUSD - полностью использованный плохим актером. Цена оракула scUSD установлена на уровне 1M$ за токен, что позволяет злоумышленнику занять 700,000 USDC под один scUSD (при 70% LTV). Злоумышленник контролирует оракул и может поднять цену еще выше, чтобы извлечь больше средств, если это необходимо. Затем злоумышленник создал непроверенную, фальшивую кампанию на Merkl, чтобы привлечь депозиты. Любой USDC, внесенный на этот рынок, заимствуется, обменивается на ETH и переводится в @RAILGUN_Project. Текущие потери: примерно 145,000$, и они растут. Поскольку злоумышленник не активно следит за хранилищем на предмет новых депозитов, это позволило 0xc0f8feab321f8ffe97666768451747d16da8cad5, жертве, которая ранее внесла USDC в это хранилище, вывести USDC до того, как злоумышленник смог его занять. Хотя мы не считаем, что @merkl_xyz или @eulerfinance виноваты в этом, так как они оба явно помечают кампанию/рынок как непроверенные, @merkl_xyz, вероятно, следует сделать внесение средств в непроверенную кампанию гораздо более неудобным с помощью дополнительных всплывающих предупреждений, чтобы предотвратить это в будущем. Основной оператор: 0x8ba913e764c5cc9b22ee63737841059ad9caac5f Последний получатель перед railgun: 0xa86399e78fb3d9fb5be053825a016e32d390fc12 Список жертв можно найти здесь: Кампания (Мошенничество, не вносите депозит): Рынок Euler (Мошенничество, не вносите депозит): cc @zachxbt