crypto.ru
Аналитики компании по безопасности блокчейнов Beosin изучили ситуацию вокруг протокола OnyxProtocol. Они заявили, что подробно изучили атаку в ходе, которой злоумышленник похитил $2,18 млн. По словам экспертов, 1 ноября 2023 года система Beosin EagleEye обнаружила, что рыночный контракт oPEPE OnyxProtocol стал жертвой эксплойта.
По словам специалистов, «филиал CompoundV2 OnyxProtocol, ранее уже был атакован злоумышленниками. Тогда пользователи потеряли $7 млн из-за аналогичной уязвимости, с которой столкнулась HundredFinance еще 15 апреля 2022 года». Эксперты рассказали всю последовательность атаки хакера, кроме того, они опубликовали ссылку на транзакцию, кошелек преступника и «атакующие и атакованные контракты».
Исследователи подчеркнули, что атака подразумевала использование механизма округления и манипулирование обменным курсом, нарушая защиту кода проекта. По словам аналитиков, изначально злоумышленник взял займ в размере 4000 WETH. Затем он конвертировал их в 2,52 трлн PEPE. Токены были распределены по различным кошелькам.
В ходе процесса атаки, «злоумышленник приобрел небольшое количество oPEPE. Он вывел PEPE на рынок oPEPE, изменив баланс PEPE и манипулируя обменным курсом. Значительное количество Эфириума было злонамеренно заимствовано на других рынках». Исследователи подчеркнули, что используя функцию округления и манипулирования ставками, злоумышленник использовал небольшую сумму oPEPE для ликвидации заимствований и возврата внесенных средств.
Многократно повторяя эти шаги, преступник конвертировал PEPE обратно в ETH, погасил флэш-кредит и получил прибыль в размере 1156 ETH. На момент написания новости, сервис Beosin Trace обнаружил, что украденные средства были полностью переведены в микшер Tornado Cash.