Το DeFi Protocol Olympus DAO έγινε το πιο πρόσφατο που παραβιάστηκε τον Οκτώβριο, καθώς ένας χάκερ απέσπασε 300,000 $ σε μια σημαντική εκμετάλλευση ασφαλείας. Ο χάκερ επέστρεψε τα κεφάλαια μετά από μια διαπραγματευθείσα συμφωνία που τους οδήγησε να κερδίσουν ένα μπόνους.
Το Olympus DAO hack είναι το πιο πρόσφατο σε έναν αριθμό hacks που έχουν πραγματοποιηθεί κατά τη διάρκεια του τρέχοντος μήνα.
Olympus DAO, The Latest Victim
Το Olympus DAO έγινε ο τελευταίος στόχος επιτιθέμενων στον κυβερνοχώρο, με τους χάκερ να ξεφεύγουν με περίπου 30,000 μάρκες OHM αξίας περίπου 300,000 $ σήμερα το πρωί. Ωστόσο, ο χάκερ άλλαξε γνώμη και επέστρεψε όλα τα χρήματα πίσω στο DAO λίγες ώρες αργότερα. Η Olympus DAO ειδοποίησε τα μέλη της κοινότητας σχετικά με το hack μέσω του Discord, δηλώνοντας,
«Σήμερα το πρωί, συνέβη ένα exploit μέσω του οποίου ο εισβολέας μπόρεσε να αποσύρει περίπου 30 OHM (300 $) από το συμβόλαιο ομολόγου της OHM στο Bond Protocol. Αυτό το σφάλμα δεν εντοπίστηκε από τρεις ελεγκτές, ούτε από τον εσωτερικό μας έλεγχο κώδικα, ούτε αναφέρθηκε μέσω του Immunefi bug bounty.”
Η Olympus δήλωσε ότι μόνο ένα περιορισμένο ποσό χρηματικών ποσών τέθηκε σε κίνδυνο και ότι το ποσό που κλάπηκε ήταν μόνο ένα κλάσμα της επιβράβευσης των 3.3 εκατομμυρίων δολαρίων που θα μπορούσε να διεκδικήσει ο χάκερ μέσω του Immunefi αν είχαν αναφέρει την εκμετάλλευση.
Λεπτομέρειες του The Hack
Σύμφωνα με την εταιρεία ασφαλείας PeckShield, η επίθεση σημειώθηκε επειδή μια σύμβαση πρωτοκόλλου απέτυχε να επικυρώσει το αίτημα μεταφοράς κεφαλαίων του χάκερ. Ο χάκερ χρησιμοποίησε το επηρεαζόμενο συμβόλαιο, που ονομάζεται "BondFixedExpiryTeller", για να ανοίξει ομόλογα που εκφράζονται σε μάρκες OHM της Olympus DAO. Το συμβόλαιο δεν είχε είσοδο επικύρωσης στη "συνάρτηση εξαργύρωσης()", επιτρέποντας στον χάκερ να εξαπατήσει τις τιμές εισόδου για να εξαργυρώσει χρήματα.
«Πρέπει να διευκρινίσουμε ότι αυτά ΔΕΝ είναι συμβόλαια της OlympusDAO. Αντίθετα, το επηρεαζόμενο γράφτηκε από το Πρωτόκολλο Ομολόγων, το οποίο χρησιμοποιήθηκε για την πιλοτική κυκλοφορία των ομολόγων της OHM."
Η Olympus DAO δήλωσε ότι έκλεισε όλες τις επηρεαζόμενες αγορές και τόνισε ότι όλα τα άλλα κεφάλαια ήταν ασφαλή. Η ομάδα του Olympus DAO πρόσθεσε επίσης ότι διερευνά τρόπους με τους οποίους θα μπορούσε να αποζημιώσει τους επηρεαζόμενους χρήστες.
Hacker Returns Funds
Μόλις λίγες ώρες αργότερα, η Olympus DAO μοιράστηκε μια άλλη ενημέρωση με τους χρήστες, δηλώνοντας ότι ο χάκερ είχε επιστρέψει τα κλεμμένα χρήματα στο πρωτόκολλο.
«Τα χρήματα έχουν επιστραφεί στο πορτοφόλι του DAO. Θα επικοινωνήσουμε για την πληρωμή του ομολόγου του OHM και θα προχωρήσουμε στο σχέδιο τις επόμενες ώρες».
Οι αναφορές υποδεικνύουν ότι ο εισβολέας είτε είχε αλλάξει γνώμη, είτε διαπραγματεύτηκε μια επιβράβευση είτε ήταν χάκερ λευκού καπέλου που ήθελε να τονίσει την ευπάθεια του πρωτοκόλλου.
Ο μήνας του Hacktober
Ο Οκτώβριος έχει δει ένα κύμα hacking που συγκλόνισε τους χώρους κρυπτογράφησης και DeFi. Στις 6 Οκτωβρίου πρωτόκολλο DeFi Σοβρίν υπέστη σημαντική εκμετάλλευση, με τους χάκερ να αποστραγγίζουν 1.1 εκατομμύρια δολάρια από την αποκεντρωμένη πλατφόρμα χρηματοδότησης που βασίζεται στο Bitcoin. Στη συνέχεια, στις 13 Οκτωβρίου, οι χάκερ στόχευσαν την πλατφόρμα δανεισμού που βασίζεται στη Σολάνα Αγορές Μάνγκο και απέσυρε 117 εκατομμύρια δολάρια από το πρωτόκολλο. Το κύμα των hacking συνεχίστηκε με το BitKeep χακάρισμα πορτοφολιού που είδε κεφάλαια αξίας 1 εκατομμυρίου δολαρίων να κλαπούν.
Τις τελευταίες δύο ημέρες είδαμε δύο ακόμη σημαντικά κατορθώματα, με Αγορά Moola χακάρεται για 9 εκατομμύρια δολάρια. Ωστόσο, ο χάκερ επέστρεψε τα περισσότερα από τα κλεμμένα κεφάλαια, επιλέγοντας να κρατήσει ένα μπόνους 500,000 δολαρίων. Το τελευταίο hack, πριν από το hack του Olympus DAO, ήταν μια επίθεση στο Υπηρεσία Ξυπνητήρι Ethereum, με αποτέλεσμα ζημιές ύψους 260,000 $.
Αποποίηση ευθυνών: Αυτό το άρθρο παρέχεται μόνο για ενημερωτικούς σκοπούς. Δεν προσφέρεται ή δεν προορίζεται να χρησιμοποιηθεί ως νομική, φορολογική, επενδυτική, οικονομική ή άλλη συμβουλή.
Πηγή: https://cryptodaily.co.uk/2022/10/hacker-siphons-300000-from-olympus-dao-returns-it-hours-later