Хакеры потеряли 145 тысяч долларов, используя Merkl для запуска непроверенных мошеннических DeFi-проектов

Хакеры нашли новый способ обманывать пользователей децентрализованных финансов (DeFi). На этот раз они использовали Merkl — универсальную платформу DeFi-стимулов, чтобы создавать фальшивые, непроверенные кампании и выводить депозиты пользователей. Мошенническая схема была нацелена на пользователей Sonic через протокол Euler и уже привела к потерям более чем на 145 000 долларов.

Хакеры создают фальшивые высокодоходные кампании

По словам пользователя DeFi под ником YAM, злоумышленник воспользовался открытой архитектурой Merkl, чтобы запустить фиктивные кампании, обещавшие доходность в трёхзначных процентах годовых. Мошенники предлагали внести USDC в якобы легитимный хранилище (vault) Euler на Sonic. Однако после депозита все средства пользователей были полностью выведены.

Поскольку Euler Finance — это разрешённый (permissionless) протокол, любой может создавать рынки без предварительного одобрения. Этим и воспользовался злоумышленник, создав поддельный рынок, где токен scUSD использовался как залог, а USDC — как заём. Манипулируя ценовым оракулом, ключевым источником данных в DeFi, он установил нереальную цену — 1 миллион долларов за токен. Это позволило ему занять 700 000 USDC под один scUSD и фактически получить полный контроль над средствами в хранилище.

Как работала схема

После запуска фальшивого рынка злоумышленник создал непроверенную кампанию на Merkl, предлагая крайне высокие доходы, чтобы привлечь депозиты. Пользователи, внёсшие USDC в кампанию, не знали, что их средства немедленно занимались, конвертировались в ETH и переводились в проект RAILGUN — протокол конфиденциальности, часто используемый для сокрытия транзакций.

Анализ блокчейна показывает, что основной адрес оператора — 0x8ba913e…, а средства впоследствии отправлялись на 0xa86399…, откуда исчезли внутри RAILGUN. Интересно, что один пользователь с адресом 0xc0f8fe… успел вывести свой депозит до того, как хакер опустошил хранилище — вероятно, потому что злоумышленник в тот момент не следил за активностью.

Реакция сообщества DeFi

После обнаружения инцидента YAM призвал пользователей проявлять осторожность при взаимодействии с непроверенными кампаниями Merkl. Он также обратился к команде Merkl с предложением добавить более жёсткие предупреждения при попытке внести депозит в такие кампании.

Сооснователь и генеральный директор Euler Labs Майкл Бентли подтвердил, что соответствующее хранилище было помечено как непроверенное и обозначено как потенциальный риск безопасности. Он отметил, что на сайте Euler доступ к таким хранилищам возможен только после того, как пользователь вручную подтверждает осознание риска. «Мы теперь навсегда блокируем все ссылки на этот конкретный vault, чтобы предотвратить дальнейшее использование», — добавил Бентли.

Члены сообщества также подняли вопрос о том, как пользователи DeFi могут убедиться в легитимности оракула рынка. YAM пояснил, что оракулы передают в DeFi-приложения реальные рыночные данные, их обычно контролируют кураторы рынка, и настройка должна быть предельно точной. Малейшая ошибка, например неверное число знаков после запятой или уязвимая мультиподпись, может открыть путь для подобных атак.

Призывы к усилению мер безопасности

Инцидент снова поднял вопрос о главной дилемме DeFi — как найти баланс между свободой инноваций и безопасностью пользователей. Платформы вроде Merkl и Euler позволяют любому создавать и подключаться к рынкам без ограничений, но именно эта открытость даёт хакерам пространство для действий. Несмотря на то, что непроверенные кампании маркируются, растущее число мошеннических случаев показывает: одних предупреждений недостаточно.

Пользователи всё громче требуют дополнительных защитных мер — обязательной проверки кампаний или дополнительных подтверждений перед депозитом. Эксперты советуют участвовать только в проверенных кампаниях и тщательно проверять смарт-контракты перед внесением средств. Эксплойт на $145 000 стал ещё одним напоминанием: даже в открытом мире DeFi осторожность остаётся лучшей защитой.