Tối ngày 07/09/2022 (theo giờ Việt Nam), Nereus Finance, một giao thức DeFi trên blockchain Avalanche, thông báo họ bị tấn công bằng hình thức flash loan (vay nhanh) dẫn đến khoản nợ khó đòi khoảng 500.000 USD trong giao thức NXUSD. Nereus Finance cho biết, kẻ tấn công đã triển khai một hợp đồng thông minh tùy chỉnh và tận dụng khoản vay nhanh 51 triệu USD để thao túng giá AVAX/USDC Trader Joe LP trong một khối duy nhất, dẫn đến kẻ tấn công kiếm được 998.000 NXUSD so với 508.000 USD tài sản thế chấp.
Nguyên nhân dẫn đến việc này là do Nereus Finance ra mắt một trong những loại tài sản thế chấp mới nhất hỗ trợ token AVAX/USDC Trader Joe LP nhưng bỏ sót bước tính giá dẫn đến việc bị hacker khai thác lỗ hổng và trục lợi. Hiện tại lỗ hổng này đã được Nereus Finance khắc phục.
Các chuyên gia bảo mật từ CertiK và các nhóm phân tích on-chain khác cho hay, kẻ tấn công vào Nereus Finance đã thu được 371.000 USD. Theo thông báo từ Nereus Finance, khoản nợ khó đòi trong giao thức NXUSD được đền bù bằng quỹ từ kho bạc và người dùng không bị thiệt hại từ vụ tấn công này.
Sau khi tấn công vào Nereus Finance, hacker đã sử dụng cầu nối (bridge) để chuyển tài sản từ blockchain Avalanche sang blockchain Ethereum. Sau đó, hắn ta chuyển USDC thành 194 ETH (khoảng 310,000 USD) và 15,800 DAI (khoảng 15,800 USD) và gửi về địa chỉ ví cũ trên blockchain Avalanche. Cuối cùng, hacker gửi 180 ETH trên blockchain Avalanche đến bốn địa chỉ ví khác nhau, sau đó gửi đến Free Float, một sàn giao dịch tiền điện tử trên Lightning Network.
