פרוטוקול DeFi Olympus DAO הפך האחרון שנפרץ באוקטובר, כאשר האקר גזל 300,000 דולר בניצול אבטחה גדול. ההאקר החזיר את הכספים בעקבות עסקה שהושגה למו"מ שגרמה להם לכיסם שלל.
פריצת Olympus DAO היא האחרונה במספר פריצות שהתרחשו במהלך החודש המתמשך.
אולימפוס DAO, הקורבן האחרון
Olympus DAO הפך ליעד האחרון של תוקפי סייבר, כשהאקרים יצאו הבוקר עם כ-30,000 אסימוני OHM בשווי של כ-300,000 דולר. עם זאת, ההאקר שינה לב והחזיר את כל הכספים ל-DAO שעות ספורות לאחר מכן. Olympus DAO התריע לחברי הקהילה על הפריצה באמצעות Discord, והצהיר,
"הבוקר אירע ניצול שבאמצעותו התוקף הצליח למשוך כ-30K OHM (300K$) מחוזה האג"ח של OHM ב-Bond Protocol. הבאג הזה לא נמצא על ידי שלושה מבקרים, גם לא על ידי סקירת הקוד הפנימית שלנו, וגם לא דווח באמצעות פרס הבאג של Immunefi שלנו."
אולימפוס הצהירה כי רק כמות מוגבלת של כספים הועמדה בסיכון וכי הסכום שנגנב היה רק חלק קטן מהשפע של 3.3 מיליון דולר שההאקר יכול היה לתבוע באמצעות Immunefi לו דיווחו על הניצול.
פרטי האק
לפי חברת האבטחה PeckShield, המתקפה התרחשה מכיוון שחוזה פרוטוקול לא הצליח לאמת את בקשת העברת הכספים של ההאקר. ההאקר השתמש בחוזה המושפע, שנקרא "BondFixedExpiryTeller", כדי לפתוח איגרות חוב הנקובות באסימוני OHM של Olympus DAO. לחוזה לא היה קלט אימות בפונקציית ה-"redeem()", המאפשרת להאקר להערים על ערכי קלט כדי לפדות כספים.
"עלינו להבהיר שלא מדובר בחוזי OlympusDAO. במקום זאת, המושפע נכתב על ידי בונד פרוטוקול, ששימש להשקת פיילוט של אג"ח OHM."
Olympus DAO הצהירה כי היא סגרה את כל השווקים המושפעים והדגישה כי כל שאר הקרנות בטוחות. צוות Olympus DAO גם הוסיף כי הוא בוחן דרכים בהן הוא יכול לפצות משתמשים מושפעים.
האקר מחזיר כספים
רק כמה שעות לאחר מכן, Olympus DAO שיתף עדכון נוסף עם המשתמשים, וקבע כי ההאקר החזיר את הכספים הגנובים לפרוטוקול.
"הכספים הוחזרו לארנק ה-DAO. אנו נתקשר על תשלום האג"ח של OHM ונתכנן להתקדם בשעות הקרובות".
דיווחים מצביעים על כך שהתוקף שינה לב, ניהל משא ומתן על פרס או שהוא האקר כובע לבן שרצה להדגיש את הפגיעות בפרוטוקול.
החודש של האקטובר
אוקטובר ראה גל של פריצות שהרעידו את מרחבי הקריפטו וה-DeFi. ב-6 באוקטובר, פרוטוקול DeFi סוברין ספג ניצול גדול, כשהאקרים גרו 1.1 מיליון דולר מפלטפורמת הפיננסים המבוזרת מבוססת הביטקוין. לאחר מכן, ב-13 באוקטובר, האקרים פנו לפלטפורמת הלוואות מבוססת סולנה שוקי מנגו וגבו 117 מיליון דולר מהפרוטוקול. גל הפריצות נמשך עם ה BitKeep פריצת ארנק שגרמה לגנוב כספים בשווי מיליון דולר.
ביומיים האחרונים ראו שני מעללים משמעותיים נוספים, עם שוק מולה נפרץ תמורת 9 מיליון דולר. עם זאת, ההאקר החזיר את רוב הכספים הגנובים, ובחר לשמור על פרס של 500,000 דולר. הפריצה האחרונה, לפני הפריצה של Olympus DAO, הייתה התקפה על שירות שעון מעורר של Ethereum, וכתוצאה מכך הפסדים בשווי $260,000.
הצהרת אחריות: מאמר זה ניתן למטרות מידע בלבד. הוא אינו מוצע או מיועד לשמש כייעוץ משפטי, מס, השקעה, פיננסי או אחר.
מקור: https://cryptodaily.co.uk/2022/10/hacker-siphons-300000-from-olympus-dao-returns-it-hours-later