El 1 de noviembre de 2023, el monitoreo de riesgos de seguridad EagleEye de Beosin, la alerta temprana y el monitoreo de la plataforma de bloqueo mostraron que el contrato de mercado oPEPE de OnyxProtocol fue pirateado y el hacker obtuvo una ganancia de alrededor de USD 2.18 millones.
Direcciones relacionadas:
Curiosamente, el protocolo OnyxProtocol es una bifurcación de CompoundV2, y el 15 de abril de 2022, HundredFinance también sufrió una pérdida de 7 millones de dólares debido a la misma vulnerabilidad. Esta vez, Beosin te lleva a través de una revisión de la vulnerabilidad.
La razón principal de este ataque es que los piratas informáticos aprovecharon el redondeo y la manipulación del tipo de cambio para romper la defensa del código del equipo del proyecto.
Proceso de ataque
Fase de preparación del ataque:
El atacante pidió prestados 4.000 WETH como fondo de preparación para el ataque.
El atacante intercambió el WETH prestado por unos 2,52 billones de PEPE.
A continuación, transfiera 2,52 billones de PEPE a varias direcciones, como 0xf8e1 y 0xdb91, y la etapa de preparación del ataque se completará desde entonces.
Fase de ataque:
El atacante obtiene una pequeña cantidad de oPEPE e inyecta PEPE en el mercado de oPEPE, aumentando el saldo de PEPE en el mercado de oPEPE para manipular el tipo de cambio de oPEPE.
El atacante presta maliciosamente una gran cantidad de Ethereum de otros mercados.
Debido al redondeo y la manipulación del tipo de cambio, el atacante utiliza una pequeña cantidad de oPEPE para liquidar el préstamo y canjear los fondos donados.
El atacante repite los pasos anteriores y finalmente convierte el PEPE de nuevo en ETH y devuelve el préstamo flash, obteniendo así un beneficio de 1156 ETH.
Rastreador de dinero
En el momento de escribir este artículo, Beosin Trace ha descubierto que la mayoría de los fondos robados se han transferido a Tornado cash.
Resumen
En respuesta a este incidente, el equipo de seguridad de Beosin sugiere:**1. Utilizar el libro mayor de reservas para registrar los préstamos de activos; 2. Amplíe la precisión y reduzca el error causado por las operaciones aritméticas; 3 Antes de poner en marcha el proyecto, se recomienda elegir una empresa profesional de auditoría de seguridad para realizar una auditoría de seguridad exhaustiva para evitar riesgos de seguridad. **
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
OnyxProtocol perdió 2,18 millones de dólares por un ataque de hackers
Fuente: Beosin
El 1 de noviembre de 2023, el monitoreo de riesgos de seguridad EagleEye de Beosin, la alerta temprana y el monitoreo de la plataforma de bloqueo mostraron que el contrato de mercado oPEPE de OnyxProtocol fue pirateado y el hacker obtuvo una ganancia de alrededor de USD 2.18 millones.
Direcciones relacionadas:
Curiosamente, el protocolo OnyxProtocol es una bifurcación de CompoundV2, y el 15 de abril de 2022, HundredFinance también sufrió una pérdida de 7 millones de dólares debido a la misma vulnerabilidad. Esta vez, Beosin te lleva a través de una revisión de la vulnerabilidad.
Información relacionada con el evento
● Comercio de ataque
0xf7c21600452939a81b599017ee24ee0dfd92aaaccd0a55d02819a7658a6ef635
● Dirección del atacante
0x085bdff2c522e8637d4154039db8746bb8642bff
● Contratos de ataque
0x526e8e98356194b64eae4c2d443cc8aad367336f
0xf8e15371832aed6cd2741c572b961ffeaf751eaa
0xdb9be000d428bf3b3ae35f604a0d7ab938bea6eb
0xe495cb62b36cbe40b9ca90de3dc5cdf0a4259e1c
0x414764af57c43e36d7e0c3e55ebe88f410a6edb6
0xcede81bb4046587dad6fc3606428a0eb4084d760
● Contrato atacado
0x5fdbcd61bc9bd4b6d3fd1f49a5d253165ea11750
0x9dcb6bc351ab416f35aeab1351776e2ad295abc4
Análisis de vulnerabilidades
La razón principal de este ataque es que los piratas informáticos aprovecharon el redondeo y la manipulación del tipo de cambio para romper la defensa del código del equipo del proyecto.
Proceso de ataque
Fase de preparación del ataque:
Fase de ataque:
Rastreador de dinero
En el momento de escribir este artículo, Beosin Trace ha descubierto que la mayoría de los fondos robados se han transferido a Tornado cash.
Resumen
En respuesta a este incidente, el equipo de seguridad de Beosin sugiere:**1. Utilizar el libro mayor de reservas para registrar los préstamos de activos; 2. Amplíe la precisión y reduzca el error causado por las operaciones aritméticas; 3 Antes de poner en marcha el proyecto, se recomienda elegir una empresa profesional de auditoría de seguridad para realizar una auditoría de seguridad exhaustiva para evitar riesgos de seguridad. **