与未验证的 @merkl_xyz 活动互动时要非常小心。 一个坏演员正在为将 USDC 存入 Euler 保险库而创建三位数的 APR 激励，并且抽走所有存款。这是它的运作方式： 由于 Euler 是无权限的，攻击者能够使用 scUSD 作为抵押品和 USDC 作为债务来部署一个“假”市场。该市场对 scUSD 的存款上限为 1 美元 - 完全被坏演员占用。scUSD 的预言机价格被设定为每个代币 100 万美元，允许攻击者以 70% 的 LTV 借入 700,000 USDC。攻击者控制着预言机，并可以进一步提高价格以提取更多资金（如有需要）。 接下来，攻击者在 Merkl 上创建了一个未验证的假活动以吸引存款。任何存入该市场的 USDC 都会被借出，兑换成 ETH，并转移到 @RAILGUN_Project。 当前损失：大约 145,000 美元，并且还在增加。 由于攻击者并未积极监控保险库的新存款，允许 0xc0f8feab321f8ffe97666768451747d16da8cad5，这位之前向该保险库存入 USDC 的受害者，在攻击者借入之前提取 USDC。 虽然我们认为 @merkl_xyz 或 @eulerfinance 并没有过错，因为他们都明确标记了活动/市场为未验证，但 @merkl_xyz 可能应该通过更多的弹出警告使存入未验证活动变得更加麻烦，以防止未来发生这种情况。 主要操作员：0x8ba913e764c5cc9b22ee63737841059ad9caac5f 在 railgun 之前的最终接收者：0xa86399e78fb3d9fb5be053825a016e32d390fc12 受害者名单可以在这里找到： 活动（诈骗，请勿存款）： Euler 市场（诈骗，请勿存款）： cc @zachxbt