1 листопада 2023 року моніторинг ризиків безпеки EagleEye, раннє попередження та моніторинг платформи блокування Beosin показав, що ринковий контракт oPEPE OnyxProtocol був зламаний, і хакер отримав прибуток у розмірі близько $2,18 млн.
Пов'язані адреси:
Цікаво, що протокол OnyxProtocol є форком CompoundV2, і ще 15 квітня 2022 року HundredFinance також зазнав збитків у розмірі $7 млн через ту саму вразливість. Цього разу Beosin проведе вас через огляд вразливості.
Основна причина цієї атаки полягає в тому, що хакери скористалися округленням і маніпуляціями з обмінним курсом, щоб зламати захист коду команди проєкту.
Процес атаки
Фаза підготовки до атаки:
Зловмисник позичив 4 000 WETH як фонд підготовки до нападу.
Зловмисник обміняв позичені WETH приблизно на 2,52 трлн PEPE.
Потім перекажіть 2,52 трильйона PEPE на кілька адрес, таких як 0xf8e1 і 0xdb91, і з того часу етап підготовки атаки завершено.
Фаза атаки:
Зловмисник отримує невелику кількість oPEPE і вводить PEPE на ринок oPEPE, збільшуючи баланс PEPE на ринку oPEPE для маніпулювання обмінним курсом oPEPE.
Зловмисник зловмисно позичає велику кількість Ethereum з інших ринків.
Через округлення та маніпуляції з обмінним курсом зловмисник використовує невелику суму oPEPE для ліквідації кредиту та викупу пожертвуваних коштів.
Зловмисник повторює описані вище кроки і, нарешті, конвертує PEPE назад в ETH і повертає флеш-позику, отримуючи таким чином прибуток у розмірі 1156 ETH.
Грошовий трекер
На момент написання статті Beosin Trace виявив, що більша частина вкрадених коштів була переведена в готівку Tornado.
Підсумок
У відповідь на цей інцидент команда безпеки Beosin пропонує:**1. Використовувати книгу обліку резервів для обліку кредитування активів; 2. Розширити точність і зменшити похибку, викликану арифметичними діями; 3 Перед запуском проекту рекомендується вибрати професійну компанію з аудиту безпеки, яка проведе комплексний аудит безпеки, щоб уникнути ризиків безпеки. **
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
OnyxProtocol втратив $2,18 млн через хакерську атаку
Джерело: Beosin
1 листопада 2023 року моніторинг ризиків безпеки EagleEye, раннє попередження та моніторинг платформи блокування Beosin показав, що ринковий контракт oPEPE OnyxProtocol був зламаний, і хакер отримав прибуток у розмірі близько $2,18 млн.
Пов'язані адреси:
Цікаво, що протокол OnyxProtocol є форком CompoundV2, і ще 15 квітня 2022 року HundredFinance також зазнав збитків у розмірі $7 млн через ту саму вразливість. Цього разу Beosin проведе вас через огляд вразливості.
Інформація про подію
● Атакуюча торгівля
0xf7c21600452939a81b599017ee24ee0dfd92aaaccd0a55d02819a7658a6ef635
● Адреса зловмисника
0x085bdff2c522e8637d4154039db8746bb8642bff
● Атакуючі контракти
0x526e8e98356194b64eae4c2d443cc8aad367336f
0xf8e15371832aed6cd2741c572b961ffeaf751eaa
0xdb9be000d428bf3b3ae35f604a0d7ab938bea6eb
0xe495cb62b36cbe40b9ca90de3dc5cdf0a4259e1c
0x414764af57c43e36d7e0c3e55ebe88f410a6edb6
0xcede81bb4046587dad6fc3606428a0eb4084d760
● Атакований контракт
0x5fdbcd61bc9bd4b6d3fd1f49a5d253165ea11750
0x9dcb6bc351ab416f35aeab1351776e2ad295abc4
Аналіз вразливостей
Основна причина цієї атаки полягає в тому, що хакери скористалися округленням і маніпуляціями з обмінним курсом, щоб зламати захист коду команди проєкту.
Процес атаки
Фаза підготовки до атаки:
Фаза атаки:
Грошовий трекер
На момент написання статті Beosin Trace виявив, що більша частина вкрадених коштів була переведена в готівку Tornado.
Підсумок
У відповідь на цей інцидент команда безпеки Beosin пропонує:**1. Використовувати книгу обліку резервів для обліку кредитування активів; 2. Розширити точність і зменшити похибку, викликану арифметичними діями; 3 Перед запуском проекту рекомендується вибрати професійну компанію з аудиту безпеки, яка проведе комплексний аудит безпеки, щоб уникнути ризиків безпеки. **