O aplicativo gerenciador de liquidez Concentric foi explorado na Arbitrum, segundo a conta oficial do protocolo no X. O atacante usou um “ataque de engenharia social” para comprometer a chave privada da conta do implantador do protocolo, que foi então usada para “atualizar os cofres, emitir novos tokens LP e, subsequentemente, drenar os cofres de seus ativos”, afirmou a equipe.

A Concentric está instando os usuários a revogar aprovações de todos os endereços de cofres, que eles listam nos documentos do protocolo.

De acordo com um relatório da plataforma de segurança blockchain CertiK, mais de US$1.8 milhão foram perdidos até agora no ataque. A carteira atacante está “vinculada” à carteira que realizou o exploit da exchange descentralizada OKX em 13 de dezembro, afirmou a CertiK, implicando que ambos os ataques podem ter sido realizados pela mesma pessoa ou grupo.

A carteira do explorador chamou a função adminMint em um contrato da Concentric, emitindo 0.001 tokens CONE-1. Em seguida, chamou “burn” para resgatar os tokens CONE-1 por fundos do AlgebraPool. Esse processo foi repetido várias vezes, permitindo que o atacante obtivesse múltiplos tokens ERC-20, que foram posteriormente trocados por Ether (ETH).

A equipe da Concentric disse que iniciou uma investigação e emitirá um relatório pós-morte o mais rápido possível. No relatório, a equipe fornecerá um plano para abordar a vulnerabilidade. “Nossa equipe está totalmente comprometida em resolver esse problema e restaurar a integridade do protocolo Concentric”, afirmou a Concentric.

Protocolos de gerenciamento de liquidez são usados para definir preços mínimos e máximos e para reequilibrar pools de liquidez em uma exchange descentralizada (DEX). Eles começaram a ganhar popularidade após o Uniswap lançar seu recurso de "liquidez concentrada" em 2021, que permitiu aos provedores de liquidez definir um preço mínimo e máximo no qual seus ativos poderiam ser negociados. Isso tornou a provisão de liquidez mais complexa, levando alguns usuários a empregar protocolos de gerenciamento para lidar com seus ativos.

Outro gerenciador de liquidez, o Protocolo Gamma, foi atacado em 4 de janeiro e drenado de quase US$500.000 através de uma vulnerabilidade de contrato inteligente. Os dois ataques empregaram métodos diferentes e não parecem estar relacionados.

VEJA MAIS: