Em 1º de novembro de 2023, o monitoramento de risco de segurança EagleEye da Beosin, o alerta precoce e o monitoramento da plataforma de bloqueio mostraram que o contrato de mercado oPEPE da OnyxProtocol foi hackeado e o hacker teve um lucro de cerca de US$ 2,18 milhões.
Endereços relacionados:
Curiosamente, o protocolo OnyxProtocol é uma bifurcação do CompoundV2, e em 15 de abril de 2022, a HundredFinance também sofreu um prejuízo de US$ 7 milhões devido à mesma vulnerabilidade. Desta vez, Beosin leva você através de uma revisão da vulnerabilidade.
A principal razão para este ataque é que os hackers se aproveitaram do arredondamento e da manipulação da taxa de câmbio para quebrar a defesa de código da equipe do projeto.
Processo de Ataque
Fase de Preparação para o Ataque:
O atacante pediu emprestado 4.000 WETH como fundo de preparação para ataques.
O atacante trocou o WETH emprestado por cerca de 2,52 trilhões de PEPE.
Em seguida, transfira 2,52 trilhões de PEPE para vários endereços, como 0xf8e1 e 0xdb91, e a etapa de preparação do ataque é concluída desde então.
Fase de Ataque:
O atacante obtém uma pequena quantidade de oPEPE e injeta PEPE no mercado de oPEPE, aumentando o equilíbrio de PEPE no mercado de oPEPE para manipular a taxa de câmbio de oPEPE.
O atacante empresta maliciosamente uma grande quantidade de Ethereum de outros mercados.
Devido ao arredondamento e manipulação da taxa de câmbio, o atacante usa uma pequena quantidade de oPEPE para liquidar o empréstimo e resgatar os fundos doados.
O atacante repete os passos acima e, finalmente, converte PEPE de volta para ETH e devolve o empréstimo flash, obtendo assim um lucro de 1156 ETH.
Rastreador de Dinheiro
No momento em que este artigo foi escrito, Beosin Trace descobriu que a maioria dos fundos roubados foram transferidos para o dinheiro do Tornado.
Resumo
Em resposta a este incidente, a equipe de segurança da Beosin sugere:**1. Use o livro razão de reserva para registrar empréstimos de ativos; 2. Expandir a precisão e reduzir o erro causado por operações aritméticas; 3 Antes do lançamento do projeto, recomenda-se escolher uma empresa de auditoria de segurança profissional para realizar uma auditoria de segurança abrangente para evitar riscos de segurança. **
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
OnyxProtocol perdeu US$ 2,18 milhões com ataque hacker
Fonte: Beosin
Em 1º de novembro de 2023, o monitoramento de risco de segurança EagleEye da Beosin, o alerta precoce e o monitoramento da plataforma de bloqueio mostraram que o contrato de mercado oPEPE da OnyxProtocol foi hackeado e o hacker teve um lucro de cerca de US$ 2,18 milhões.
Endereços relacionados:
Curiosamente, o protocolo OnyxProtocol é uma bifurcação do CompoundV2, e em 15 de abril de 2022, a HundredFinance também sofreu um prejuízo de US$ 7 milhões devido à mesma vulnerabilidade. Desta vez, Beosin leva você através de uma revisão da vulnerabilidade.
Informações relacionadas com o evento
● Negociação de ataque
0xf7c21600452939a81b599017ee24ee0dfd92aaaccd0a55d02819a7658a6ef635
● Endereço do atacante
0x085bdff2c522e8637d4154039db8746bb8642bff
● Contratos de ataque
0x526e8e98356194b64eae4c2d443cc8aad367336f
0xf8e15371832aed6cd2741c572b961ffeaf751eaa
0xdb9be000d428bf3b3ae35f604a0d7ab938bea6eb
0xe495cb62b36cbe40b9ca90de3dc5cdf0a4259e1c
0x414764af57c43e36d7e0c3e55ebe88f410a6edb6
0xcede81bb4046587dad6fc3606428a0eb4084d760
● Contrato atacado
0x5fdbcd61bc9bd4b6d3fd1f49a5d253165ea11750
0x9dcb6bc351ab416f35aeab1351776e2ad295abc4
Análise de Vulnerabilidade
A principal razão para este ataque é que os hackers se aproveitaram do arredondamento e da manipulação da taxa de câmbio para quebrar a defesa de código da equipe do projeto.
Processo de Ataque
Fase de Preparação para o Ataque:
Fase de Ataque:
Rastreador de Dinheiro
No momento em que este artigo foi escrito, Beosin Trace descobriu que a maioria dos fundos roubados foram transferidos para o dinheiro do Tornado.
Resumo
Em resposta a este incidente, a equipe de segurança da Beosin sugere:**1. Use o livro razão de reserva para registrar empréstimos de ativos; 2. Expandir a precisão e reduzir o erro causado por operações aritméticas; 3 Antes do lançamento do projeto, recomenda-se escolher uma empresa de auditoria de segurança profissional para realizar uma auditoria de segurança abrangente para evitar riscos de segurança. **