Le 1er novembre 2023, la surveillance des risques de sécurité, l’alerte précoce et la surveillance de la plateforme de blocage EagleEye de Beosin ont montré que le contrat de marché oPEPE d’OnyxProtocol avait été piraté et que le pirate avait réalisé un bénéfice d’environ 2,18 millions de dollars.
Adresses connexes :
Il est intéressant de noter que le protocole OnyxProtocol est un fork de CompoundV2, et le 15 avril 2022, HundredFinance a également subi une perte de 7 millions de dollars en raison de la même vulnérabilité. Cette fois-ci, Beosin vous présente un examen de la vulnérabilité.
La principale raison de cette attaque est que les pirates ont profité de l’arrondi et de la manipulation du taux de change pour percer la défense du code de l’équipe de projet.
Processus d’attaque
Phase de préparation de l’attaque :
L’attaquant a emprunté 4 000 WETH comme fonds de préparation à l’attaque.
L’attaquant a échangé le WETH emprunté contre environ 2,52 billions de PEPE.
Transférez ensuite 2,52 billions de PEPE à plusieurs adresses telles que 0xf8e1 et 0xdb91, et la phase de préparation de l’attaque est terminée depuis lors.
Phase d’attaque :
L’attaquant obtient une petite quantité d’oPEPE et injecte du PEPE sur le marché de l’oPEPE, augmentant ainsi l’équilibre du PEPE sur le marché de l’oPEPE pour manipuler le taux de change de l’oPEPE.
L’attaquant prête malicieusement une grande quantité d’Ethereum à partir d’autres marchés.
En raison de l’arrondi et de la manipulation du taux de change, l’attaquant utilise une petite quantité d’oPEPE pour liquider le prêt et racheter les fonds donnés.
L’attaquant répète les étapes ci-dessus et reconvertit finalement le PEPE en ETH et retourne le prêt flash, réalisant ainsi un profit de 1156 ETH.
Tracker d’argent
Au moment de la rédaction de cet article, Beosin Trace a constaté que la plupart des fonds volés ont été transférés à Tornado cash.
Résumé
En réponse à cet incident, l’équipe de sécurité de Beosin suggère :**1. Utiliser le grand livre de réserve pour enregistrer les prêts d’actifs ; 2. Augmenter la précision et réduire l’erreur causée par les opérations arithmétiques ; 3 Avant le lancement du projet, il est recommandé de choisir une société d’audit de sécurité professionnelle pour effectuer un audit de sécurité complet afin d’éviter les risques de sécurité. **
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
OnyxProtocol a perdu 2,18 millions de dollars à cause d’une attaque de piratage
Source: Beosin
Le 1er novembre 2023, la surveillance des risques de sécurité, l’alerte précoce et la surveillance de la plateforme de blocage EagleEye de Beosin ont montré que le contrat de marché oPEPE d’OnyxProtocol avait été piraté et que le pirate avait réalisé un bénéfice d’environ 2,18 millions de dollars.
Adresses connexes :
Il est intéressant de noter que le protocole OnyxProtocol est un fork de CompoundV2, et le 15 avril 2022, HundredFinance a également subi une perte de 7 millions de dollars en raison de la même vulnérabilité. Cette fois-ci, Beosin vous présente un examen de la vulnérabilité.
Informations relatives à l’événement
● Trading d’attaque
0xf7c21600452939a81b599017ee24ee0dfd92aaaccd0a55d02819a7658a6ef635
● Adresse de l’attaquant
0x085bdff2c522e8637d4154039db8746bb8642bff
● Contrats d’attaque
0x526e8e98356194b64eae4c2d443cc8aad367336f
0xf8e15371832aed6cd2741c572b961ffeaf751eaa
0xdb9be000d428bf3b3ae35f604a0d7ab938bea6eb
0xe495cb62b36cbe40b9ca90de3dc5cdf0a4259e1c
0x414764af57c43e36d7e0c3e55ebe88f410a6edb6
0xcede81bb4046587dad6fc3606428a0eb4084d760
● Contrat attaqué
0x5fdbcd61bc9bd4b6d3fd1f49a5d253165ea11750
0x9dcb6bc351ab416f35aeab1351776e2ad295abc4
Analyse des vulnérabilités
La principale raison de cette attaque est que les pirates ont profité de l’arrondi et de la manipulation du taux de change pour percer la défense du code de l’équipe de projet.
Processus d’attaque
Phase de préparation de l’attaque :
Phase d’attaque :
Tracker d’argent
Au moment de la rédaction de cet article, Beosin Trace a constaté que la plupart des fonds volés ont été transférés à Tornado cash.
Résumé
En réponse à cet incident, l’équipe de sécurité de Beosin suggère :**1. Utiliser le grand livre de réserve pour enregistrer les prêts d’actifs ; 2. Augmenter la précision et réduire l’erreur causée par les opérations arithmétiques ; 3 Avant le lancement du projet, il est recommandé de choisir une société d’audit de sécurité professionnelle pour effectuer un audit de sécurité complet afin d’éviter les risques de sécurité. **