一週4起閃電貸攻擊,穩定幣OUSD又丟了700萬美元

“Origin Protocol穩定幣OUSD遭閃電貸操縱預言機攻擊,損失700萬美元加密資產。根據coingecko.資料顯示,OUSD在過去24小時跌幅達到85.5%,現報0.146美元。閃電貸攻擊毫無疑問是DeFi領域最常見也是最嚴重的安全問題,在過去一週,已經發生了4起閃電貸攻擊,包括Value DeFi(540萬美元)、Cheese Bank(330萬美元)、Akropolis(200萬美元)以及今天的OUSD(700萬美元)。”

以下是Origin Protocol聯合創始人Matthew Liu釋出的有關這次閃電貸攻擊的資訊:

Origin Protocol的穩定幣OUSD已被駭客入侵,並且使用者資金已經出現流失。我們正在積極調查這個問題。請參考此部落格文章,作為未來幾天內不斷更新的權威資訊。

在過去三個小時中,我們在瞭解攻擊並跟蹤從OUSD金庫到攻擊者錢包的資金流動方面取得了進展。

我們正在積極採取措施,以期收回資金。這包括與交易所和其他第三方合作,以潛在地識別攻擊者身份和/或凍結資金以免被清算。

我們已經追蹤了資金,並且知道攻擊者同時使用了Tornado Cash和renBTC來洗錢和轉移資金。

目前,攻擊者的錢包之一中還有7,137 ETH和224.9萬DAI。

這次攻擊發生的交易資訊在這裡(最早的攻擊交易:

https://etherscan.io/tx/0xe1c76241dda7c5fcf1988454c621142495640e708e3f8377982f55f8cf2a8401)。

下面還有關於這次攻擊的資訊摘要:

這次襲擊是由於我們合約中存在的一個再入bug。事實上,除非透過我們支援的的一種穩定幣向我們發起攻擊,否則我們的合約安全並不會受到重入漏洞的影響。

攻擊者利用了一次缺失的驗證檢查(當透過多種穩定幣鑄造OUSD時),以在他們的控制下傳遞假的“穩定幣”。然後,該“穩定幣”被Vault呼叫為“ transferFrom”,從而使駭客能夠在鑄造過程中透過再入攻擊來攻擊合約。

在資金從第一次大額鑄幣轉移到OUSD之後並且在OUSD供應增加之前,攻擊者能夠在第二次鑄幣期間內建立一個rebase事件。這為合約中的每個人(包括攻擊者)創造了巨大的rebase。然後,攻擊者還收到了他們的第一次大額OUSD鑄幣,使他們獲得的OUSD總數超過了合約所擁有的資產。

攻擊者從OUSD提取了大部分穩定幣。

然後,他們可以在提取並在Uniswap和Sushiswap上賣出為USDT之後繼續提取OUSD。

目前,資金損失約為700萬美元,其中包括Origin和我們的創始人及員工所存入的超過100萬美元資金。我們將繼續加大工作力度,直到我們確定利用該漏洞的原因以及我們是否能夠找回這些資金。我們願意竭盡所能解決這個問題。

我們已禁用金庫(Vault)中的存款。之後我們將釋出一份詳細的交易分析報告。

在接下來的幾天中,我們將採取詳盡的措施,以找回丟失的使用者資金,然後再討論受影響的OUSD持有者的補償計劃。提醒一下,請不要在Uniswap或Sushiswap上購買OUSD,因為當前價格不能反映出OUSD的基礎資產。

致駭客:我們要求您做正確的事並退還資金。您已經展現出了出色的駭客技能,並且我們很樂意僱用您擔任安全顧問。如果您退還100%的資金,我們保證不會繼續追究您或對您採取任何法律行動。我們虛心請您考慮正在傷害的數百名無辜者,並退還資金。

最後,我們要對更廣大的區塊鏈社羣表示感謝。在這些艱難時期,我們得到了投資者,DeFi工程師,安全專家等的大力支援。我們非常感謝能幫助我們進一步分析攻擊,追蹤資金並可能識別攻擊者的小組。我們全體團隊成員表示感謝。

免責聲明:

  1. 本文版權歸原作者所有,僅代表作者本人觀點,不代表鏈報觀點或立場。
  2. 如發現文章、圖片等侵權行爲,侵權責任將由作者本人承擔。
  3. 鏈報僅提供相關項目信息,不構成任何投資建議

推荐阅读