Pada 1 November 2023, pemantauan risiko keamanan EagleEye Beosin, peringatan dini, dan pemantauan platform pemblokiran menunjukkan bahwa kontrak pasar oPEPE OnyxProtocol diretas, dan peretas mendapat untung sekitar $2.18 juta.
Alamat Terkait:
Menariknya, protokol OnyxProtocol adalah fork dari CompoundV2, dan pada 15 April 2022, HundredFinance juga mengalami kerugian sebesar $7 juta karena kerentanan yang sama. Kali ini, Beosin membawa Anda melalui tinjauan kerentanan.
Alasan utama serangan ini adalah peretas memanfaatkan pembulatan dan manipulasi nilai tukar untuk menerobos pertahanan kode tim proyek.
Proses Serangan
Tahap Persiapan Serangan:
Penyerang meminjam 4.000 WETH sebagai dana persiapan serangan.
Penyerang menukar WETH yang dipinjam dengan sekitar 2,52 triliun PEPE.
Kemudian transfer 2,52 triliun PEPE ke beberapa alamat seperti 0xf8e1 dan 0xdb91, dan tahap persiapan serangan selesai sejak saat itu.
** Fase Serangan: **
Penyerang memperoleh sejumlah kecil oPEPE dan menyuntikkan PEPE ke pasar oPEPE, meningkatkan saldo PEPE di pasar oPEPE untuk memanipulasi nilai tukar oPEPE.
Penyerang dengan jahat meminjamkan sejumlah besar Ethereum dari pasar lain.
Karena pembulatan dan manipulasi nilai tukar, penyerang menggunakan sejumlah kecil oPEPE untuk melikuidasi pinjaman dan menebus dana yang disumbangkan.
Penyerang mengulangi langkah-langkah di atas dan akhirnya mengubah PEPE kembali ke ETH dan mengembalikan pinjaman flash, sehingga menghasilkan keuntungan 1156 ETH.
Pelacak Uang
Pada saat penulisan, Beosin Trace telah menemukan bahwa sebagian besar dana yang dicuri telah ditransfer ke uang tunai Tornado.
Ringkasan
Menanggapi kejadian ini, tim keamanan Beosin menyarankan:**1. Gunakan buku besar cadangan untuk mencatat pinjaman aset; 2. Perluas akurasi dan kurangi kesalahan yang disebabkan oleh operasi aritmatika; 3 Sebelum proyek diluncurkan, disarankan untuk memilih perusahaan audit keamanan profesional untuk melakukan audit keamanan yang komprehensif untuk menghindari risiko keamanan. **
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
OnyxProtocol kehilangan $ 2,18 juta karena serangan peretas
Sumber: Beosin
Pada 1 November 2023, pemantauan risiko keamanan EagleEye Beosin, peringatan dini, dan pemantauan platform pemblokiran menunjukkan bahwa kontrak pasar oPEPE OnyxProtocol diretas, dan peretas mendapat untung sekitar $2.18 juta.
Alamat Terkait:
Menariknya, protokol OnyxProtocol adalah fork dari CompoundV2, dan pada 15 April 2022, HundredFinance juga mengalami kerugian sebesar $7 juta karena kerentanan yang sama. Kali ini, Beosin membawa Anda melalui tinjauan kerentanan.
Informasi terkait acara
● Perdagangan serangan
0xf7c21600452939a81b599017ee24ee0dfd92aaaccd0a55d02819a7658a6ef635
● Alamat penyerang
0x085bdff2c522e8637d4154039db8746bb8642bff
● Serang kontrak
0x526e8e98356194b64eae4c2d443cc8aad367336f
0xf8e15371832aed6cd2741c572b961ffeaf751eaa
0xdb9be000d428bf3b3ae35f604a0d7ab938bea6eb
0xe495cb62b36cbe40b9ca90de3dc5cdf0a4259e1c
0x414764af57c43e36d7e0c3e55ebe88f410a6edb6
0xcede81bb4046587dad6fc3606428a0eb4084d760
● Kontrak yang diserang
0x5fdbcd61bc9bd4b6d3fd1f49a5d253165ea11750
0x9dcb6bc351ab416f35aeab1351776e2ad295abc4
Analisis Kerentanan
Alasan utama serangan ini adalah peretas memanfaatkan pembulatan dan manipulasi nilai tukar untuk menerobos pertahanan kode tim proyek.
Proses Serangan
Tahap Persiapan Serangan:
** Fase Serangan: **
Pelacak Uang
Pada saat penulisan, Beosin Trace telah menemukan bahwa sebagian besar dana yang dicuri telah ditransfer ke uang tunai Tornado.
Ringkasan
Menanggapi kejadian ini, tim keamanan Beosin menyarankan:**1. Gunakan buku besar cadangan untuk mencatat pinjaman aset; 2. Perluas akurasi dan kurangi kesalahan yang disebabkan oleh operasi aritmatika; 3 Sebelum proyek diluncurkan, disarankan untuk memilih perusahaan audit keamanan profesional untuk melakukan audit keamanan yang komprehensif untuk menghindari risiko keamanan. **