1 ноября 2023 года мониторинг рисков безопасности, раннего предупреждения и блокировки платформы Beosin EagleEye показал, что рыночный контракт OnyxProtocol oPEPE был взломан, и хакер получил прибыль в размере около 2,18 миллиона долларов.
Адреса по теме:
Интересно, что протокол OnyxProtocol является форком CompoundV2, и еще 15 апреля 2022 года HundredFinance также понесла убыток в размере $7 млн из-за той же уязвимости. На этот раз Beosin проведет вас через обзор уязвимости.
Основная причина этой атаки заключается в том, что хакеры воспользовались округлением и манипулированием обменным курсом, чтобы прорвать защиту кода команды проекта.
Процесс атаки
Фаза подготовки к атаке:
Злоумышленник занял 4 000 WETH в качестве фонда подготовки к атаке.
Злоумышленник обменял заемные WETH примерно на 2,52 трлн PEPE.
Затем переведите 2,52 триллиона PEPE на несколько адресов, таких как 0xf8e1 и 0xdb91, и с тех пор этап подготовки к атаке завершен.
Фаза атаки:
Злоумышленник получает небольшое количество oPEPE и вводит PEPE на рынок oPEPE, увеличивая баланс PEPE на рынке oPEPE для манипулирования обменным курсом oPEPE.
Злоумышленник злонамеренно одалживает большое количество Ethereum с других рынков.
Из-за округления и манипулирования курсом злоумышленник использует небольшую сумму oPEPE для погашения кредита и выкупа пожертвованных средств.
Злоумышленник повторяет вышеописанные действия и, наконец, конвертирует PEPE обратно в ETH и возвращает флэш-займ, получив таким образом прибыль в размере 1156 ETH.
Денежный трекер
На момент написания статьи Beosin Trace обнаружила, что большая часть украденных средств была переведена на Tornado Cash.
Резюме
В ответ на этот инцидент команда безопасности Beosin предлагает:**1. Используйте резервную книгу для учета кредитования активов; 2. Повысить точность и уменьшить погрешность, вызванную арифметическими операциями; 3 Перед запуском проекта рекомендуется выбрать профессиональную компанию по аудиту безопасности для проведения комплексного аудита безопасности, чтобы избежать рисков безопасности. **
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
OnyxProtocol потерял $2,18 млн из-за хакерской атаки
Источник: Beosin
1 ноября 2023 года мониторинг рисков безопасности, раннего предупреждения и блокировки платформы Beosin EagleEye показал, что рыночный контракт OnyxProtocol oPEPE был взломан, и хакер получил прибыль в размере около 2,18 миллиона долларов.
Адреса по теме:
Интересно, что протокол OnyxProtocol является форком CompoundV2, и еще 15 апреля 2022 года HundredFinance также понесла убыток в размере $7 млн из-за той же уязвимости. На этот раз Beosin проведет вас через обзор уязвимости.
Информация, связанная с мероприятием
● Торговля атаками
0xf7c21600452939a81b599017ee24ee0dfd92aaaccd0a55d02819a7658a6ef635
● Адрес злоумышленника
0x085bdff2c522e8637d4154039db8746bb8642bff
● Атакующие контракты
0x526e8e98356194b64eae4c2d443cc8aad367336f
0xf8e15371832aed6cd2741c572b961ffeaf751eaa
0xdb9be000d428bf3b3ae35f604a0d7ab938bea6eb
0xe495cb62b36cbe40b9ca90de3dc5cdf0a4259e1c
0x414764af57c43e36d7e0c3e55ebe88f410a6edb6
0xcede81bb4046587dad6fc3606428a0eb4084d760
● Атакованный контракт
0x5fdbcd61bc9bd4b6d3fd1f49a5d253165ea11750
0x9dcb6bc351ab416f35aeab1351776e2ad295abc4
Анализ уязвимостей
Основная причина этой атаки заключается в том, что хакеры воспользовались округлением и манипулированием обменным курсом, чтобы прорвать защиту кода команды проекта.
Процесс атаки
Фаза подготовки к атаке:
Фаза атаки:
Денежный трекер
На момент написания статьи Beosin Trace обнаружила, что большая часть украденных средств была переведена на Tornado Cash.
Резюме
В ответ на этот инцидент команда безопасности Beosin предлагает:**1. Используйте резервную книгу для учета кредитования активов; 2. Повысить точность и уменьшить погрешность, вызванную арифметическими операциями; 3 Перед запуском проекта рекомендуется выбрать профессиональную компанию по аудиту безопасности для проведения комплексного аудита безопасности, чтобы избежать рисков безопасности. **