Hãy CỰC KỲ cẩn thận khi tương tác với các chiến dịch @merkl_xyz chưa được xác minh. Một kẻ xấu đang tạo ra các ưu đãi APR ba chữ số trên Sonic để gửi USDC vào một kho Euler, và rút hết tất cả các khoản gửi. Đây là cách nó hoạt động: Bởi vì Euler là không cần sự cho phép, kẻ tấn công đã có thể triển khai một thị trường 'giả' sử dụng scUSD làm tài sản thế chấp và USDC làm nợ. Thị trường có giới hạn gửi 1$ cho scUSD - hoàn toàn bị chiếm bởi kẻ xấu. Giá oracle của scUSD được đặt là 1 triệu đô la mỗi token, cho phép kẻ tấn công vay 700,000 USDC dựa trên một scUSD (với tỷ lệ LTV 70%). Kẻ tấn công kiểm soát oracle và có thể nâng giá lên cao hơn để rút thêm tiền nếu cần. Tiếp theo, kẻ tấn công đã tạo ra một chiến dịch giả mạo, chưa được xác minh trên Merkl để thu hút các khoản gửi. Bất kỳ USDC nào được gửi vào thị trường này đều bị vay, hoán đổi thành ETH, và chuyển đến @RAILGUN_Project. Tổn thất hiện tại: khoảng 145,000 đô la, và đang tăng. Khi kẻ tấn công không theo dõi kho cho các khoản gửi mới, nó đã cho phép 0xc0f8feab321f8ffe97666768451747d16da8cad5, một nạn nhân đã gửi USDC vào kho này trước đó, rút USDC trước khi kẻ tấn công kịp vay nó. Mặc dù chúng tôi không nghĩ rằng @merkl_xyz hay @eulerfinance có lỗi ở đây, vì cả hai đều rõ ràng đánh dấu chiến dịch/thị trường là chưa được xác minh, @merkl_xyz có lẽ nên làm cho việc gửi vào một chiến dịch chưa được xác minh trở nên khó chịu hơn với nhiều cảnh báo pop-up hơn, chỉ để ngăn chặn điều này xảy ra trong tương lai. Người điều hành chính: 0x8ba913e764c5cc9b22ee63737841059ad9caac5f Người nhận cuối cùng trước railgun: 0xa86399e78fb3d9fb5be053825a016e32d390fc12 Danh sách các nạn nhân có thể được tìm thấy ở đây: Chiến dịch (LỪA ĐẢO, đừng gửi): Thị trường Euler (LỪA ĐẢO, đừng gửi): cc @zachxbt

trông như một tòa nhà xấu xa nhưng thực ra đó là nhà thờ