Protokół DeFi Olympus DAO stał się ostatnim, który został zhakowany w październiku, gdy haker wyprowadził 300,000 XNUMX USD w ramach poważnego luki w zabezpieczeniach. Haker zwrócił pieniądze po wynegocjowaniu umowy, w wyniku której zgarnęli nagrodę.
Hakowanie Olympus DAO jest ostatnim z wielu ataków, które miały miejsce w ciągu bieżącego miesiąca.
Olympus DAO, najnowsza ofiara
Olympus DAO stał się najnowszym celem cyberataków, a hakerzy zdobyli dziś rano około 30,000 300,000 tokenów OHM o wartości około XNUMX XNUMX USD. Jednak haker zmienił zdanie i kilka godzin później zwrócił wszystkie fundusze z powrotem do DAO. Olympus DAO powiadomił członków społeczności o włamaniu za pośrednictwem Discorda, stwierdzając:
„Dzisiejszego ranka doszło do exploita, dzięki któremu napastnik był w stanie wypłacić około 30 300 OHM (XNUMX XNUMX USD) z umowy obligacji OHM w Bond Protocol. Ten błąd nie został znaleziony przez trzech audytorów, ani przez nasz wewnętrzny przegląd kodu, ani nie został zgłoszony za pośrednictwem naszej nagrody za błędy Immunefi”.
Olympus stwierdził, że tylko ograniczona ilość środków została narażona na ryzyko, a skradziona kwota stanowiła zaledwie ułamek 3.3 miliona dolarów nagrody, którą haker mógłby odebrać za pośrednictwem Immunefi, gdyby zgłosił exploita.
Szczegóły włamania
Według firmy zajmującej się bezpieczeństwem, PeckShield, atak miał miejsce, ponieważ umowa protokołu nie zweryfikowała żądania przelewu środków przez hakera. Haker wykorzystał zagrożoną umowę o nazwie „BondFixedExpiryTeller”, aby otworzyć obligacje denominowane w tokenach OHM Olympus DAO. W kontrakcie brakowało danych wejściowych walidacji w funkcji „redeem()”, umożliwiając hakerowi oszukanie wartości wejściowych w celu odzyskania środków.
„Musimy wyjaśnić, że to NIE są kontrakty OlympusDAO. Zamiast tego, dotknięty problem został napisany przez Bond Protocol, który został wykorzystany do pilotażowego uruchomienia obligacji OHM."
Olympus DAO stwierdził, że zamknął wszystkie dotknięte rynki i podkreślił, że wszystkie inne fundusze są bezpieczne. Zespół Olympus DAO dodał również, że bada sposoby, w jakie może zrekompensować dotkniętym użytkownikom.
Haker zwraca środki
Zaledwie kilka godzin później Olympus DAO udostępnił użytkownikom kolejną aktualizację, informując, że haker zwrócił skradzione środki do protokołu.
„Środki wróciły do portfela DAO. Będziemy informować o wypłacie obligacji OHM i planować postęp w nadchodzących godzinach”.
Raporty sugerują, że atakujący albo zmienił zdanie, wynegocjował nagrodę, albo był hakerem w białym kapeluszu, który chciał podkreślić lukę w protokole.
Miesiąc Hacktobera
Październik przyniósł falę włamań, które wstrząsnęły przestrzeniami krypto i DeFi. 6 października protokół DeFi Sowryn doznał poważnego exploita, a hakerzy wyprowadzili 1.1 miliona dolarów ze zdecentralizowanej platformy finansowej opartej na Bitcoinie. Następnie, 13 października, hakerzy zaatakowali platformę pożyczkową opartą na Solanie Rynki Mango i pobrali 117 milionów dolarów z protokołu. Fala włamań trwała wraz z BitKeep włamanie do portfela, w wyniku którego skradziono środki o wartości 1 miliona dolarów.
W ciągu ostatnich kilku dni pojawiły się dwa kolejne znaczące exploity, z Targ Moola zhakowanie za 9 milionów dolarów. Jednak haker zwrócił większość skradzionych środków, decydując się na zatrzymanie nagrody w wysokości 500,000 XNUMX USD. Ostatni hack, przed hackiem Olympus DAO, był atakiem na Usługa budzika Ethereum, co spowodowało straty o wartości 260,000 XNUMX USD.
Zastrzeżenie: ten artykuł służy wyłącznie do celów informacyjnych. Nie jest oferowana ani przeznaczona do wykorzystania jako porady prawne, podatkowe, inwestycyjne, finansowe lub inne.
Źródło: https://cryptodaily.co.uk/2022/10/hacker-siphons-300000-from-olympus-dao-returns-it-hours-later