145 000 dollar tapt etter at hackere brukte Merkl til å lansere uverifiserte DeFi-svindler

Hackere har funnet en ny måte å utnytte brukere av desentralisert finans (DeFi) på. Denne gangen brukte de Merkl – en alt-i-ett DeFi-insentivplattform – til å opprette falske, uverifiserte kampanjer og tømme brukernes innskudd. Svindelen rettet seg mot brukere på Sonic via Euler-protokollen, og har allerede ført til tap på over 145 000 dollar.

Hackere oppretter falske høyrentekampanjer

Ifølge DeFi-brukeren YAM utnyttet en ondsinnet aktør Merkl sin åpne struktur til å lage falske kampanjer som tilsynelatende tilbød tresifrede årlige avkastninger (APR). Svindelen ba brukere sette inn USDC i det som så ut som et legitimt Euler-hvelv på Sonic. Men så snart brukerne satte inn midlene sine, ble de tappet fullstendig av angriperen.

Siden Euler Finance er en tillatelsesfri protokoll, kan hvem som helst opprette markeder uten forhåndsgodkjenning. Angriperen brukte denne funksjonen til å lansere et falskt marked, der en token kalt scUSD ble brukt som sikkerhet og USDC som gjeld. Deretter manipulerte de orakelprisen – en sentral datakilde brukt i DeFi – og satte den til absurde 1 million dollar per token. Dette gjorde det mulig å låne 700 000 USDC mot én enkelt scUSD, noe som i praksis ga angriperen full kontroll over midlene i hvelvet.

Slik fungerte svindelen

Etter at det falske markedet var aktivt, lanserte angriperen en uverifisert kampanje på Merkl og promoterte ekstremt høye avkastninger for å lokke til seg innskudd. Brukere som satte inn USDC i kampanjen, fikk midlene sine lånt ut, byttet til ETH og deretter overført til RAILGUN-prosjektet – en personvernsprotokoll som ofte brukes for å skjule transaksjoner.

On-chain-data viser at hovedaktørens lommebokadresse var 0x8ba913e…, med midlene senere sendt til 0xa86399… før de forsvant inn i RAILGUN. Interessant nok klarte én bruker, identifisert som 0xc0f8fe…, å ta ut innskuddet sitt før angriperen rakk å tømme hvelvet – trolig fordi hackeren ikke overvåket det aktivt.

Reaksjoner fra DeFi-miljøet

Etter at svindelen ble oppdaget, oppfordret YAM brukere til å være forsiktige når de interagerer med uverifiserte Merkl-kampanjer. Han ba også Merkl-teamet om å gjøre det vanskeligere å sette inn midler i slike kampanjer ved å innføre tydeligere advarsler.

Michael Bentley, medgründer og administrerende direktør i Euler Labs, bekreftet at hvelvet i spørsmålet var tydelig merket som uverifisert og som en sikkerhetsrisiko. Han påpekte at Euler-nettstedet kun gir tilgang til uverifiserte hvelv dersom brukerne manuelt aktiverer et valg som anerkjenner risikoen. «Vi blokkerer nå permanent alle lenker til dette spesifikke hvelvet for å hindre videre bruk,» la Bentley til.

Flere i miljøet stilte også spørsmål ved hvordan DeFi-brukere kan kontrollere om et markeds orakel er legitimt. YAM forklarte at orakler leverer prisdata fra virkeligheten til DeFi-applikasjoner, og at de ofte styres av markedets kuratorer. De må settes opp med stor forsiktighet, ettersom små feil – som feil desimaler eller usikrede multisig-løsninger – kan åpne for alvorlige utnyttelser som denne.

Krav om sterkere sikkerhetstiltak

Hendelsen peker på et gjentakende problem i DeFi-verdenen: balansen mellom åpen innovasjon og brukersikkerhet. Plattformene Merkl og Euler lar hvem som helst opprette eller delta i markeder uten begrensninger. Men den samme åpenheten gir også angripere handlingsrom. Selv om prosjekter tydelig merker uverifiserte kampanjer, viser det økende antallet svindler at advarsler alene ikke er nok.

Brukere etterlyser nå flere sikkerhetsmekanismer, som obligatoriske verifikasjonssjekker eller ekstra bekreftelser før innskudd. Eksperter anbefaler for øyeblikket å kun samhandle med verifiserte kampanjer og å dobbeltsjekke kontraktsdetaljer før man setter inn midler. Utnyttelsen på 145 000 dollar er nok en tydelig påminnelse om at selv i DeFis åpne landskap, er forsiktighet den beste beskyttelsen.