一周4起闪电贷攻击,稳定币OUSD又丢了700万美元

巴比特 阅读 43827 2020-11-17 15:40
分享至
微信扫一扫,打开网页后点击屏幕右上角分享按钮
“Origin Protocol稳定币OUSD遭闪电贷操纵预言机攻击,损失700万美元加密资产。根据coingecko.数据显示,OUSD在过去24小时跌幅达到85.5%,现报0.146美元。闪电贷攻击毫无疑问是defi领域最常见也是最严重的安全问题,在过去一周,已经发生了4起闪电贷攻击,包括Value DeFi(540万美元)、Cheese Bank(330万美元)、Akropolis(200万美元)以及今天的OUSD(700万美元)。”

以下是Origin Protocol联合创始人Matthew Liu发布的有关这次闪电贷攻击的信息:

Origin Protocol的稳定币OUSD已被黑客入侵,并且用户资金已经出现流失。 我们正在积极调查这个问题。 请参考此博客文章,作为未来几天内不断更新的权威信息。

在过去三个小时中,我们在了解攻击并跟踪从OUSD金库到攻击者钱包的资金流动方面取得了进展。

我们正在积极采取措施,以期收回资金。 这包括与交易所和其他第三方合作,以潜在地识别攻击者身份和/或冻结资金以免被清算。

我们已经追踪了资金,并且知道攻击者同时使用了Tornado Cash和renBTC来洗钱和转移资金。

目前,攻击者的钱包之一中还有7,137 ETH和224.9万DAI。

这次攻击发生的交易信息在这里(最早的攻击交易:

https://etherscan.io/tx/0xe1c76241dda7c5fcf1988454c621142495640e708e3f8377982f55f8cf2a8401)。

下面还有关于这次攻击的信息摘要:

这次袭击是由于我们合约中存在的一个再入bug。 事实上,除非通过我们支持的的一种稳定币向我们发起攻击,否则我们的合约安全并不会受到重入漏洞的影响。

攻击者利用了一次缺失的验证检查(当通过多种稳定币铸造OUSD时),以在他们的控制下传递假的“稳定币”。 然后,该“稳定币”被Vault调用为“ transferFrom”,从而使黑客能够在铸造过程中通过再入攻击来攻击合约。

在资金从第一次大额铸币转移到OUSD之后并且在OUSD供应增加之前,攻击者能够在第二次铸币期间内创建一个rebase事件。 这为合约中的每个人(包括攻击者)创造了巨大的rebase。 然后,攻击者还收到了他们的第一次大额OUSD铸币,使他们获得的OUSD总数超过了合约所拥有的资产。

攻击者从OUSD提取了大部分稳定币。

然后,他们可以在提取并在Uniswap和Sushiswap上卖出为USDT之后继续提取OUSD。

目前,资金损失约为700万美元,其中包括Origin和我们的创始人及员工所存入的超过100万美元资金。 我们将继续加大工作力度,直到我们确定利用该漏洞的原因以及我们是否能够找回这些资金。我们愿意竭尽所能解决这个问题。

我们已禁用金库(Vault)中的存款。 之后我们将发布一份详细的交易分析报告。

在接下来的几天中,我们将采取详尽的措施,以找回丢失的用户资金,然后再讨论受影响的OUSD持有者的补偿计划。 提醒一下,请不要在Uniswap或Sushiswap上购买OUSD,因为当前价格不能反映出OUSD的基础资产。

致黑客:我们要求您做正确的事并退还资金。 您已经展现出了出色的黑客技能,并且我们很乐意雇用您担任安全顾问。 如果您退还100%的资金,我们保证不会继续追究您或对您采取任何法律行动。 我们虚心请您考虑正在伤害的数百名无辜者,并退还资金。

最后,我们要对更广大的区块链社区表示感谢。 在这些艰难时期,我们得到了投资者,DeFi工程师,安全专家等的大力支持。 我们非常感谢能帮助我们进一步分析攻击,追踪资金并可能识别攻击者的小组。 我们全体团队成员表示感谢。

btcfans公众号

微信扫描关注公众号,及时掌握新动向

来源链接:https://www.8btc.com/
免责声明:
2.本文版权归属原作所有,仅代表作者本人观点,不代表比特范的观点或立场
2.本文版权归属原作所有,仅代表作者本人观点,不代表比特范的观点或立场
上一篇:以太坊2.0将提升DeFi,可访问性将使其成为主流 下一篇:带你了解如果转账失败了,该怎么办?

相关资讯