crypto.ru
На прошлой неделе платформа Polter Finance стала жертвой эксплойта, в результате которого злоумышленники похитили около $8,7 млн. Инцидент произошел 16 ноября 2024 года и был вызван манипуляцией ценой токена BOO. После атаки платформа временно приостановила свою деятельность для расследования. Его провели эксперты компании Certik и отчитались об этом.
Эксплойт был основан на уязвимости в работе контракта AaveOracle, который использовался для оценки цены токена BOO в кредитных пулах Polter Finance. Злоумышленник с помощью флэш-кредита искусственно завысил стоимость актива. Это позволило ему брать крупные займы, используя BOO в качестве залога. Атака затронула сразу несколько кредитных пулов платформы.
Сценарий включал флэш-кредиты на общую сумму более 1,4 млн BOO из Spooky V2 и V3. Эти токены были использованы для депозита в пул Polter Finance, где токен оценивался в астрономическую сумму — $1,37 квадриллиона. Это позволило злоумышленнику беспрепятственно занимать активы, которые затем выводились с платформы.
После похищения активов средства были переведены на несколько десятков кошельков и частично отмыты с помощью Tornado Cash. Часть активов была конвертирована и выведена через мосты на блокчейн Ethereum. В настоящее время крупнейший из отслеживаемых кошельков злоумышленника содержит около 358 ETH, что эквивалентно $1,1 млн.
Polter Finance уже обратилась к злоумышленнику с просьбой вернуть средства, однако пока официальных заявлений о ходе переговоров не поступало. В то же время сообщество поднимает вопросы о необходимости усиления мер безопасности в работе с ценовыми оракулами, которые часто становятся уязвимыми местами платформ.
Эксперты Certik отметили, что с начала 2024 года в криптоиндустрии зафиксировано 30 атак, связанных с манипуляцией ценой, что привело к общим потерям в размере $50 млн. Несмотря на снижение числа инцидентов по сравнению с 2023 годом, данный случай вошел в тройку крупнейших в этом году, уступая только атакам на UwULend ($19 млн) и WooFi ($8,7 млн).