Level Finance 加密货币交易所被黑，已安全审计 2 次，损失约 110 万美元。

事件分析

Level Finance 是一家基于 BNB Chain 的去中心化交易所平台。近日，黑客利用 Level Finance 的智能合约漏洞从该交易所窃取了 21.4 万 LVL token（Level Finance 代币），并将其转化为 3345 BNB，价值约 110 万美元。

Level Finance 称该攻击不影响其流动池和 DAO treasury（DAO 金库），且漏洞利用的合约与其他合约是隔离的。Level Finance 称将会在调查清楚后采取进一步行动，DAO 发布了一个关于社区应该如何处理这 21.4 万 LVL token 的投票。

区块链安全和数据分析公司 PeckShield 称被黑的智能合约为 LevelReferralControllerV2，该合约的 claimMultiple 函数存在逻辑漏洞，允许用户在一定时间内重复索取奖励（claim reward）。

图 有漏洞的合约代码

智能合约审计公司 BlockSec 也得到了同样的结论，称黑客上周以来多次尝试利用该漏洞但失败了。攻击者做了如下的准备工作：创建和设置多个推荐人，使用 flashloan 来执行多次兑换。攻击者通过创建多个推荐账户和 flashloan 来最大化其收益。攻击者没做一次兑换都可以获得奖励。

最终，攻击者于 5 月 1 日成功执行了正确的攻击步骤，并成功获利 110 万美元。

审计并不等于安全

虽然 Level Finance 采取了多项措施来保护用户安全，比如 2023 年就采购了 2 家独立公司的安全审计服务。但黑客仍然成功利用了其中未被发现的安全漏洞来发起攻击。

4 月，DEX Merlin 也由于安全漏洞损失了约 182 万美元。安全事件发生时间与其宣布通过区块链安全公司 CertiK 的安全审计时间仅相隔数天。

ZAKER旗下Web3.0元宇宙平台

ZAKER旗下新媒体协同创作平台

来源：myzaker