1 Kasım 2023'te Beosin'in EagleEye güvenlik riski izleme, erken uyarı ve engelleme platformu izlemesi, OnyxProtocol'ün oPEPE piyasa sözleşmesinin saldırıya uğradığını ve bilgisayar korsanının yaklaşık 2,18 milyon dolar kar elde ettiğini gösterdi.
İlgili Adresler:
İlginç bir şekilde, OnyxProtocol protokolü CompoundV2'nin bir çatalıdır ve 15 Nisan 2022'de HundredFinance da aynı güvenlik açığı nedeniyle $7 milyon zarar etti. Bu kez, Beosin sizi güvenlik açığının bir incelemesine götürüyor.
Bu saldırının ana nedeni, bilgisayar korsanlarının proje ekibinin kod savunmasını kırmak için yuvarlama ve döviz kuru manipülasyonundan yararlanmasıdır.
Saldırı Süreci
Saldırı Hazırlık Aşaması:
Saldırgan, saldırı hazırlık fonu olarak 4.000 WETH borç aldı.
Saldırgan, ödünç alınan WETH'yi yaklaşık 2,52 trilyon PEPE ile değiştirdi.
Ardından 2,52 trilyon PEPE'yi 0xf8e1 ve 0xdb91 gibi birden fazla adrese aktarın ve o andan itibaren saldırı hazırlık aşaması tamamlandı.
Saldırı Aşaması:
Saldırgan az miktarda oPEPE elde eder ve oPEPE piyasasına PEPE enjekte ederek oPEPE döviz kurunu manipüle etmek için oPEPE piyasasındaki PEPE bakiyesini artırır.
Saldırgan, kötü niyetli olarak diğer piyasalardan büyük miktarda Ethereum ödünç verir.
Yuvarlama ve döviz kuru manipülasyonu nedeniyle, saldırgan krediyi tasfiye etmek ve bağışlanan fonları kullanmak için az miktarda oPEPE kullanır.
Saldırgan yukarıdaki adımları tekrarlar ve sonunda PEPE'yi tekrar ETH'ye dönüştürür ve flaş krediyi iade eder, böylece 1156 ETH kar elde eder.
Para Takipçisi
Bu yazının yazıldığı sırada Beosin Trace, çalınan fonların çoğunun Tornado nakitine aktarıldığını tespit etti.
Özet
Bu olaya yanıt olarak, Beosin güvenlik ekibi şunları önermektedir:**1. Varlık kredilerini kaydetmek için rezerv defterini kullanın; 2. Doğruluğu genişletin ve aritmetik işlemlerin neden olduğu hatayı azaltın; 3 Proje başlatılmadan önce, güvenlik risklerinden kaçınmak için kapsamlı bir güvenlik denetimi yapmak üzere profesyonel bir güvenlik denetim şirketi seçmeniz önerilir. **
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
OnyxProtocol, bir hacker saldırısına 2,18 milyon dolar kaybetti
Kaynak: Beosin
1 Kasım 2023'te Beosin'in EagleEye güvenlik riski izleme, erken uyarı ve engelleme platformu izlemesi, OnyxProtocol'ün oPEPE piyasa sözleşmesinin saldırıya uğradığını ve bilgisayar korsanının yaklaşık 2,18 milyon dolar kar elde ettiğini gösterdi.
İlgili Adresler:
İlginç bir şekilde, OnyxProtocol protokolü CompoundV2'nin bir çatalıdır ve 15 Nisan 2022'de HundredFinance da aynı güvenlik açığı nedeniyle $7 milyon zarar etti. Bu kez, Beosin sizi güvenlik açığının bir incelemesine götürüyor.
Etkinlikle ilgili bilgiler
● Saldırı ticareti
0xf7c21600452939a81b599017ee24ee0dfd92aaaccd0a55d02819a7658a6ef635
● Saldırgan adresi
0x085bdff2c522e8637d4154039db8746bb8642bff
● Saldırı sözleşmeleri
0x526e8e98356194b64eae4c2d443cc8aad367336f
0xf8e15371832aed6cd2741c572b961ffeaf751eaa
0xdb9be000d428bf3b3ae35f604a0d7ab938bea6eb
0xe495cb62b36cbe40b9ca90de3dc5cdf0a4259e1c
0x414764af57c43e36d7e0c3e55ebe88f410a6edb6
0xcede81bb4046587dad6fc3606428a0eb4084d760
● Saldırıya uğrayan sözleşme
0x5fdbcd61bc9bd4b6d3fd1f49a5d253165ea11750
0x9dcb6bc351ab416f35aeab1351776e2ad295abc4
Zafiyet Analizi
Bu saldırının ana nedeni, bilgisayar korsanlarının proje ekibinin kod savunmasını kırmak için yuvarlama ve döviz kuru manipülasyonundan yararlanmasıdır.
Saldırı Süreci
Saldırı Hazırlık Aşaması:
Saldırı Aşaması:
Para Takipçisi
Bu yazının yazıldığı sırada Beosin Trace, çalınan fonların çoğunun Tornado nakitine aktarıldığını tespit etti.
Özet
Bu olaya yanıt olarak, Beosin güvenlik ekibi şunları önermektedir:**1. Varlık kredilerini kaydetmek için rezerv defterini kullanın; 2. Doğruluğu genişletin ve aritmetik işlemlerin neden olduğu hatayı azaltın; 3 Proje başlatılmadan önce, güvenlik risklerinden kaçınmak için kapsamlı bir güvenlik denetimi yapmak üzere profesyonel bir güvenlik denetim şirketi seçmeniz önerilir. **