Fai MOLTA attenzione quando interagisci con campagne @merkl_xyz non verificate. Un attore malevolo sta creando incentivi APR a tre cifre su Sonic per depositare USDC in un vault di Euler, e drena tutti i depositi. Ecco come funziona: Poiché Euler è permissionless, l'attaccante è stato in grado di lanciare un mercato 'finto' utilizzando scUSD come collaterale e USDC come debito. Il mercato ha un limite di deposito di 1$ per scUSD - completamente preso dall'attore malevolo. Il prezzo oracle di scUSD è impostato a 1M$ per token, consentendo all'attaccante di prendere in prestito 700.000 USDC contro un singolo scUSD (con un LTV del 70%). L'attaccante controlla l'oracle e può aumentare ulteriormente il prezzo per estrarre più fondi se necessario. Successivamente, l'attaccante ha creato una campagna non verificata e falsa su Merkl per attrarre depositi. Qualsiasi USDC depositato in questo mercato viene preso in prestito, scambiato in ETH e trasferito a @RAILGUN_Project. Perdite attuali: circa 145.000$, e in aumento. Poiché l'attaccante non sta monitorando attivamente il vault per nuovi depositi, ha permesso a 0xc0f8feab321f8ffe97666768451747d16da8cad5, una vittima che aveva precedentemente depositato USDC in questo vault, di ritirare USDC prima che l'attaccante riuscisse a prenderlo in prestito. Anche se non pensiamo che @merkl_xyz o @eulerfinance siano colpevoli qui, poiché entrambi segnalano chiaramente la campagna/mercato come non verificati, @merkl_xyz dovrebbe probabilmente rendere il deposito in una campagna non verificata molto più fastidioso con più avvisi pop-up, solo per prevenire che ciò accada in futuro. Operatore principale: 0x8ba913e764c5cc9b22ee63737841059ad9caac5f Ricevitore finale prima di railgun: 0xa86399e78fb3d9fb5be053825a016e32d390fc12 L'elenco delle vittime può essere trovato qui: Campagna (TRUFFA, non depositare): Mercato di Euler (TRUFFA, non depositare): cc @zachxbt